Помогите с GRE за NAT

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
lexa_kiev
проходил мимо
Сообщения: 7
Зарегистрирован: 2008-10-03 16:27:20

Помогите с GRE за NAT

Непрочитанное сообщение lexa_kiev » 2008-10-10 16:36:06

Дано: FreeBSD 7.0 в локалке за ADSL роутером D-link 2500. Внешний адрес статический. В роутере задан проброс порта 47 на машину с фрей.
Задача: установить GRE туннель с роутером провайдера.
Вопрос: какой адрес писать в команде ifconfig gre0 tunnel <мой_ip> <провайдер>
- внешний адрес (адрес роутера) или адрес машины во внутренней сети (192.168.1.254) ?

Пробовал и так и так, но пинг на сеть провайдера не проходит (маршрут добавил).
Да и пинг на виртуальный адрес удаленного конца туннеля тоже.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помогите с GRE за NAT

Непрочитанное сообщение schizoid » 2008-10-10 16:55:23

а чего не pptp туннель?
ну а по сабжу ИП Д-Линка нуно указывать
ядерный взрыв...смертельно красиво...жаль, что не вечно...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите с GRE за NAT

Непрочитанное сообщение paradox » 2008-10-10 16:57:15

наскоко я помню gre через nat не работает
помоему такую тему уже поднимали...
хотя я могу ошибаться

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помогите с GRE за NAT

Непрочитанное сообщение schizoid » 2008-10-10 16:57:46

работает
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помогите с GRE за NAT

Непрочитанное сообщение schizoid » 2008-10-10 17:03:45

fxp0 - интерфейс смотрящий на модем (модем в режиме роутера)

Код: Выделить всё

# ifconfig
rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.0.150 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:a0:d2:10:71:a0
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 192.168.30.2 netmask 0xfffffffc broadcast 192.168.30.3
        ether 00:15:e9:b1:dc:c0
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 192.168.40.2 netmask 0xfffffffc broadcast 192.168.40.3
        ether 00:02:b3:99:e2:02
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
pflog0: flags=0<> mtu 33208
pfsync0: flags=0<> mtu 2020
        syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng1: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1452
        inet 192.168.5.54 --> 192.168.1.254 netmask 0xffffffff
ng3: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng4: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
        inet 192.168.0.150 --> 192.168.0.187 netmask 0xffffffff
ng5: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng6: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng7: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng8: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng9: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng10: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
Вложения
screen2.jpg
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помогите с GRE за NAT

Непрочитанное сообщение schizoid » 2008-10-10 17:05:31

как видно ща 2 туннеля
первый: от меня на ЦО
второй: какой-то из сотрудников удаленно подключился к сети
ядерный взрыв...смертельно красиво...жаль, что не вечно...

lexa_kiev
проходил мимо
Сообщения: 7
Зарегистрирован: 2008-10-03 16:27:20

Re: Помогите с GRE за NAT

Непрочитанное сообщение lexa_kiev » 2008-10-10 17:20:08

schizoid писал(а):fxp0 - интерфейс смотрящий на модем (модем в режиме роутера)
По моему это у тебя немного не то о чем я. PPTP (mpd) и у меня работает на эту фрю за модемом-роутером.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Помогите с GRE за NAT

Непрочитанное сообщение schizoid » 2008-10-10 17:58:14

пптп работает по gre
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Помогите с GRE за NAT

Непрочитанное сообщение Alex_hha » 2008-10-10 18:16:35

наскоко я помню gre через nat не работает
По дефолту не работает, надо лишь подгрузить модули

# rpm -ql kernel-2.6.18-92.1.13.el5 | grep pptp
/lib/modules/2.6.18-92.1.13.el5/kernel/net/ipv4/netfilter/ip_conntrack_pptp.ko
/lib/modules/2.6.18-92.1.13.el5/kernel/net/ipv4/netfilter/ip_nat_pptp.ko

Как это в FreeBSD не знаю

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите с GRE за NAT

Непрочитанное сообщение paradox » 2008-10-10 18:19:44

как мне кажеться
хоть и pptp построен на GRE
но поднятие чистого GRE это немного другое дело
поскольку у GRE нет порта
и это не TCP протокол как pptp

поэтому надо експериментировать
и анализировать tcpdump
что бы понять

Sadok123
сержант
Сообщения: 179
Зарегистрирован: 2008-09-04 10:59:32

Re: Помогите с GRE за NAT

Непрочитанное сообщение Sadok123 » 2008-10-10 18:20:37

schizoid писал(а):как видно ща 2 туннеля
у меня есть суровое подозрение в этом и трабл. если б фря сама была "пограничником" - решить можно.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите с GRE за NAT

Непрочитанное сообщение paradox » 2008-10-10 18:24:39

роутере задан проброс порта 47 на машину с фрей
47 это не номер порта
это номер протокола)

разберитесь что вы там пробрасываете

lexa_kiev
проходил мимо
Сообщения: 7
Зарегистрирован: 2008-10-03 16:27:20

Re: Помогите с GRE за NAT

Непрочитанное сообщение lexa_kiev » 2008-10-10 18:41:33

paradox писал(а):
роутере задан проброс порта 47 на машину с фрей
47 это не номер порта
это номер протокола)

разберитесь что вы там пробрасываете

Да, извините, это я глупость сделал, попутал порт и протокол. Я поместил машину с фрей в DMZ роутера. Все так же не работает. Хотя MPD на это машине работает, и доступ извне по VPN есть.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите с GRE за NAT

Непрочитанное сообщение paradox » 2008-10-10 18:45:11

tcpdump в руки)
и смотри по 47 протоколу что там происходит
к томуже исключи траффик от mpd который тоже будет по 47 протоколу ити

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Помогите с GRE за NAT

Непрочитанное сообщение hizel » 2008-10-10 19:49:43

я уже неоднократно ругался на этот высер майкрософтовской мысли
этап инициации проходит через 1723 порт tcp
потом данные несутся через GRE
ну а GRE через nat проходят только через костыли
в линуксе это доп модулек
в natd и libalias оно уже внедерено по умолчанию
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите с GRE за NAT

Непрочитанное сообщение paradox » 2008-10-10 19:57:43

причем тут pptp ???
мы gre Обсуждаем
который через ifconfig поднимаеться
разве там pptp ???

мля
пошел смотреть в соурсы if gre

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Помогите с GRE за NAT

Непрочитанное сообщение hizel » 2008-10-10 20:21:00

хм, мда, ну хоть пнул мелкософт еще раз :)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Yam
сержант
Сообщения: 226
Зарегистрирован: 2008-10-11 19:19:24
Откуда: 2:5093/41

Re: Помогите с GRE за NAT

Непрочитанное сообщение Yam » 2008-10-12 0:48:05

Код: Выделить всё

Небольшой ликбез:

111.111.111.1 - внешний интерфейс r1
1.1.1.1 - окончание тунеля на r1
192.168.1.0/24 - приватная сеть за r1

222.222.222.1 - внешний интерфейс r2
1.1.1.2 - окончание тунеля на r2
192.168.2.0/24 - приватная сеть за r2

На одном конце:

r1# ifconfig gre create
r1# ifconfig gre0 inet 1.1.1.1 1.1.1.2
r1# ifconfig gre0 tunnel 111.111.111.1 222.222.222.1
r1# ifconfig gre0
gre0: flags=9051<UP,POINTOPOINT,RUNNING,LINK0,MULTICAST> metric 0 mtu 1476
        tunnel inet 111.111.111.1 --> 222.222.222.1
        inet 1.1.1.1 --> 1.1.1.2 netmask 0xff000000
r1# route add -net 192.168.2.0 1.1.1.2

На другом:

r2# ifconfig gre create
r2# ifconfig gre0 inet 1.1.1.2 1.1.1.1
r2# ifconfig gre0 tunnel 222.222.222.1 111.111.111.1
r2# ifconfig gre0
gre0: flags=9051<UP,POINTOPOINT,RUNNING,LINK0,MULTICAST> metric 0 mtu 1476
        tunnel inet 222.222.222.1 --> 111.111.111.1
        inet 1.1.1.2 --> 1.1.1.1 netmask 0xff000000
r2# route add -net 192.168.1.0 1.1.1.1

r1# ping 222.222.222.1
PING 222.222.222.1 (222.222.222.1): 56 data bytes
64 bytes from 222.222.222.1: icmp_seq=0 ttl=255 time=0.455 ms
64 bytes from 222.222.222.1: icmp_seq=1 ttl=255 time=0.452 ms

r1# ping 1.1.1.2
PING 1.1.1.2 (1.1.1.2): 56 data bytes
64 bytes from 1.1.1.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 1.1.1.2: icmp_seq=1 ttl=255 time=0.448 ms

r1# ping 192.168.2.1
PING 192.168.2.1 (192.168.2.1): 56 data bytes
64 bytes from 192.168.2.1: icmp_seq=0 ttl=255 time=0.464 ms
64 bytes from 192.168.2.1: icmp_seq=1 ttl=255 time=0.471 ms
Вопрос: какой адрес писать в команде ifconfig gre0 tunnel <мой_ip> <провайдер>
- внешний адрес (адрес роутера) или адрес машины во внутренней сети (192.168.1.254) ?

Ответ: коммандой ifconfig gre0 tunnel задается 1. адрес интерфейса, на который будут приходить пакеты gre для твоей машины; 2 адрес машины на который будут отправляться gre пакеты с твоей машины.

Сколько с d-link`ами работаю не видел ни разу что бы где-то настраивался проброс gre за nat, вряд ли это вообще возможно. Думается при такой постановке задачи единствено возможный вариант - это перевести adsl роутер в режим моста и соединение с провайдером терминировать на freebsd, тогда с gre тунелем будет проще.
Последний раз редактировалось Yam 2008-10-12 0:55:21, всего редактировалось 3 раза.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите с GRE за NAT

Непрочитанное сообщение paradox » 2008-10-12 0:53:01

тег [ code ] поюзать не хочешь?

lexa_kiev
проходил мимо
Сообщения: 7
Зарегистрирован: 2008-10-03 16:27:20

Re: Помогите с GRE за NAT

Непрочитанное сообщение lexa_kiev » 2008-10-12 13:54:15

После двух дней секса с dlink+gre хорошего мало. Хотя, для тренировки, подымал gre туннель внутри локалки - работает (три команды, ошибится трудно...). Потом стал пробовать внутри Укртелекома - на другой машине тоже ADSL модем, но в режиме моста. На ней и смотрю приходящий трафик от настраиваемой машины с BSD. Я надеялся, что хотя бы исходящий gre трафик будет выходить за тот dlink беспрепятсвенно (не по туннелю машины видят друг-друга, пинг, ссш и т.п.). Однако я его не вижу и это самое непонятное (анализатор следит за езернет интерфейсом от модема-моста). Непонятно все ж у него устроено, неужели для пропуска им gre необходим предшествующий pptp трафик?
Завтра переведу его в режим моста, посмотрю что получится.
P.S.: Почитал разные форумы, вроде в Paradyne 6212 есть настройка проброса протокола GRE на внутренний IP. Если у кого такой модем есть, отзовитесь плиз.

lexa_kiev
проходил мимо
Сообщения: 7
Зарегистрирован: 2008-10-03 16:27:20

Re: Помогите с GRE за NAT

Непрочитанное сообщение lexa_kiev » 2008-10-14 17:04:57

Проверил в режиме моста - работает, GRE ходит. То есть в режиме роутера модем (D-link 2500U/BRU/D) режет IP GRE, даже если комп в DMZ. Надо было его сразу выбросить...

антон
проходил мимо

Re: Помогите с GRE за NAT

Непрочитанное сообщение антон » 2009-03-25 1:29:28

все тоже самое происходило и со мной )) кошмар... те же несколько дней секса и те же мысли...
:-o

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

Re: Помогите с GRE за NAT

Непрочитанное сообщение CTOPMbI4 » 2013-11-08 7:01:38

hizel писал(а):я уже неоднократно ругался на этот высер майкрософтовской мысли
этап инициации проходит через 1723 порт tcp
потом данные несутся через GRE
ну а GRE через nat проходят только через костыли
в линуксе это доп модулек
в natd и libalias оно уже внедерено по умолчанию
Тема конечно давнишняя. Но все же поделитесь костылями на фряхе в pptp
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

Гость
проходил мимо

Re: Помогите с GRE за NAT

Непрочитанное сообщение Гость » 2013-11-12 10:27:38

gre за натом проходит только для одного пользователя,
для других будет Ж

задавать нужно вопросы по существу

VladVan
проходил мимо
Сообщения: 6
Зарегистрирован: 2013-11-14 20:26:42

Re: Помогите с GRE за NAT

Непрочитанное сообщение VladVan » 2013-11-21 19:57:58

Есть гдето в портах "Frickin PPTP Proxy" , через него удалось как то давным давно запустить несколько pptp клиентов за одним натом к разным серверам одновременно.