Построение шлюза с трансляцией через ВПН

[CTOPMbI4]

Задача. Дать Возможность пользователям из локалки ходить в инет, через маршрутизатор на основе FreeBSD.

Имеем. Машину на FreeBSD 7.0
На ней 2 интерфейса.
rl0 (10.0.0.0) - Смотрит в сторону Локалки Провайдера.
nfe0 (192.0.0.0) - Смотрит в сторону офисной локалки.

+ ВПН Виртуальный тунель на основе mpd через pptp.

настроен natd.
настроен mpd.

Через rl0 пакеты ходят в локалку и обратно.
А вот через виртуальный интерфейс поднятый демоном mpd пакеты в локалку так и не ходят.

Товарищи комрады как решить данный вопрос?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[tango]

Покажите вывод команды netstat -rn

[Гость]

Routing tables

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            ng0                US          0       81    ng0
10.8.0.1           10.64.41.1         UGHS        0      263    rl0
10.8.0.8           172.27.250.45      UH          0        0    ng0
10.64.41.0/24      link#2             UC          0        0    rl0
10.64.41.1         00:0d:88:d7:4b:21  UHLW        2        0    rl0   1200
127.0.0.1          127.0.0.1          UH          0       93    lo0
192.168.0.0/24     link#1             UC          0        0   nfe0
192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       1       22   nfe0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#6                        UHL         lo0
ff01:6::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0

[tango]

шлюз по умолчанию у компов локальной сети (со стороны nfe0- интерфейса) какой?

[CTOPMbI4]

Виндовые машины стоят в офисе.
настройки в ЛВС.
ип. 192.168.0.0/24
маска 255.255.255.0
шлюз 192.168.0.1
днс 192.168.0.1

[tango]

Для того чтобы выпускать компьютеры своей локальной сети в Интернет, ван нужен NAT или прокси.
Поднимайте что нибудь из этого на своем шлюзе с FreeBSD.

[CTOPMbI4]

Над поднял natd
прописал в rc.conf
natd_enable="YES"
natd_interface="nfe0"
natd_flags=""

поднял 2й нат. Прописал фраймед ип 172.27.250.45 на него выдающийся по ВПН от провайдера.
natd2_enable="YES"
natd2_interface="172.27.250.45"
natd2_flags="-p 8669"
добавил
gateway_enable="YES"

Результат то что через виртуальный интерфейс ng0 пакеты не ходят на локальной машине.

Где ошибка?

[schizoid]

я что-то не совсем понял идею с 2-мя НАТами...

[manefesto]

как вариант у него 3 интерфейса, один смотрит в мир, 2 других в разные сети. Хотя хз....и вправду ...можно обойтись и одни...имхо

[Гость]

интерфейса 2. один смотрит в сеть провайдера rl0 по ЛВС.
вторая nfe0 в сторону локалки офиса.
и ВПН поднимается с помощью mpd виртуальное ng0 с фрэймом ипом 172.27.250.45.
а нат2 чтобы натился вирт. интерфейс ng0.

[tango]

а первый nat у вас что натит локалку прова что ли? Зачем?

[hizel]

интерфейса 2. один смотрит в сеть провайдера rl0 по ЛВС.
вторая nfe0 в сторону локалки офиса.
и ВПН поднимается с помощью mpd виртуальное ng0 с фрэймом ипом 172.27.250.45.
а нат2 чтобы натился вирт. интерфейс ng0.

вы ipfw правила прописывали для второго nat-а?

[Гость]

firewall_enable="YES"
firewall_type="OPEN"

А правил собственно вообще нет.
Все прозрачно.

[Гость]

а первый nat у вас что натит локалку прова что ли? Зачем?

Именно натит локалку провайдера.
А как вы думаете зачем это нужно?

[hizel]

firewall_enable="YES"
firewall_type="OPEN"

А правил собственно вообще нет.
Все прозрачно.

а с чего вы взяли что в rc.firewall в типе OPEN
предполагается наличие второго ната?


тогда уж, у вас должно быть, что то типа

Код: Выделить всё

ipfw add divert 8669 all from any to 172.27.250.45 in via ng0
ipfw add divert natd all from  any to 10.x.x.x in via rl0
ipfw add divert 8669 all from any to any out via ng0
ipfw add divert natd all from any to any out via rl0

кроме всего прочего

Пы.Сы. правила у вас должны быть, иначе natd не работает
ipfw show гляньте

[schizoid]

ну или ipnat-ом сделать...

[hizel]

или pf накрутить
или ng_nat внедрить

[schizoid]

точна
вариантов масса, главное понимать, что ты делаешь

[tango]

а первый nat у вас что натит локалку прова что ли? Зачем?

Именно натит локалку провайдера.
А как вы думаете зачем это нужно?

думаю что не зачем не нужно....
Достаточно прописать статические маршруты в локалку прова.... правда он (пров) тоже должен прописать маршрут в вашу сеть...
Но если пров не вкурсе что к нему ходит целая "посторонняя" локалка, то тогда да.

Вот пример таблици маршрутизации с моего гейта.

Код: Выделить всё

$ netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            194.105.х.х        UGS         0   125272   fxp1
127.0.0.1          127.0.0.1          UH          0        0    lo0
192.168.1          link#2             UC          0        0   fxp0
192.168.1.1        00:30:48:35:46:22  UHLW        0      230   fxp0   1171
192.168.3          192.168.1.23       UGS         0     4099   fxp0
192.168.6          192.168.1.28       UGS         0    39198   fxp0
192.168.9          192.168.1.23       UGS         0     5510   fxp0
192.168.10         192.168.99.1       UGS         0        0    xl0
192.168.11         192.168.99.1       UGS         0    11960    xl0
192.168.12         192.168.12.2       UGS         0      109    ng2
192.168.12.2       192.168.1.15       UH          1      541    ng2
192.168.50         192.168.50.1       UGS         0     1561    ng0
192.168.50.1       192.168.1.15       UH          1      658    ng0
192.168.60         192.168.60.1       UGS         0    36057    ng6
192.168.60.1       192.168.1.15       UH          1      276    ng6
192.168.99         link#1             UC          0        0    xl0
192.168.99.1       00:02:b3:3e:8a:68  UHLW        2        0    xl0    429
194.105.х.х/28     link#3             UC          0        0   fxp1
194.105.х.х        00:18:74:1f:6c:40  UHLW        1        0   fxp1    879

как видите - 3 физических интерфейса и 3 mpd-шных...
NAT используется только для выхода в инет...
все подсети доступны друг для друга без проблем.

[hizel]

эм я выделяю ключевое

Достаточно прописать статические маршруты в локалку прова.... правда он (пров) тоже должен прописать маршрут в вашу сеть...
Но если пров не вкурсе что к нему ходит целая "посторонняя" локалка, то тогда да.

пров должен только то, что накарябанно в договоре
заставить прова прописать обратный маршрут встретит сильное протеводействие админов провайдера
ему лишние маршруты совершенно не нужны

вобщето тут класическая ситуация для русских интернетов
в маршрутизаторах д-линк это так и называется русский НАТ
роутеры с такими прошивками по умолчанию поставляются
аккурат из Китая в Россию
когда есть локалка и pptp\l2tp через туже локалку в интернет
и чтобы были доступны оба ресурса одновременно

[Гость]

Столько много что насоветовали парни))
проблему решил.
Убрал 2 нат.
Закинул первый сразу на вирт. интерфейс все пашет.
теперь осталось прикрутить счетчик для подсчета трафика что посоветуете?

[zg]

ipacctd

zg# make search name=ipacctd
Port: ipacctd-1.47
Path: /usr/ports/net-mgmt/ipacctd
Info: IP accounting using divert socket
Maint: skv@FreeBSD.org
B-deps:
R-deps:
WWW:

простой, рускоязычный и надёжный