Проблема с ipfw

[sidor-r]

Добрый день.
Система FreeBSD 6.2
Пытаюсь настроить ipfw так чтобы пользователи могли получать доступ к интернет только через vpn, vpn сервер MPD-3.18.
Проблема в следующем когда я подключаюсь по vpn из WinXP
подключение прохлдит нормально, интернет есть, но как только я отключаюсь от vpn, на WinXP проподает интернет и не пингуется ни сам vpn сервер не внешняя сеть хотя доступ к vpn серверу по ssh есть!!!Да и еще на сервере интернет тоже проподает!!! Повторное подключение ни чего не дает, все также.
Помогает только команда на сервере:

Код: Выделить всё

#sh /etc/firewall.conf /dev/null

после этой команды интернет на клиенте появляется!!!
Вот мои правила ipfw

Код: Выделить всё

#ipfw list 
00100 allow ip from any to any via lo0 
00200 deny ip from any to 127.0.0.0/8 
00300 deny ip from 127.0.0.0/8 to any 
00400 divert 8668 ip from 192.168.101.0/24,192.168.100.0/24 to any out via rl0 
00500 divert 8668 ip from any to 111.111.111.111 in via rl0 
00600 allow log logamount 100 gre from any to any via xl0 
00700 allow log logamount 100 tcp from any 1723 to any out via xl0 
00800 allow log logamount 100 tcp from any to any dst-port 1723 in via xl0 
01900 allow icmp from any to any via rl0 
02000 allow icmp from any to any via xl0 
02100 allow log logamount 100 icmp from any to any via ng\* 
02200 deny icmp from any to any frag 
02300 deny icmp from any to 255.255.255.255 in via rl0 
02400 deny icmp from any to 255.255.255.255 out via rl0 
02500 allow udp from 111.111.111.111 to 83.220.35.98 dst-port 53 out via rl0 
02600 allow udp from 83.220.35.98 53 to 111.111.111.111 in via rl0 
02700 allow udp from 83.220.35.98 53 to 192.168.101.0/24 in via rl0 
02800 allow udp from 192.168.101.0/24 to 83.220.35.98 dst-port 53 in via xl0 
02900 allow udp from 83.220.35.98 53 to 192.168.101.0/24 out via xl0 
03000 allow udp from 83.220.35.98 53 to 192.168.100.0/24 in via rl0 
03100 allow udp from 192.168.100.0/24 to 83.220.35.98 dst-port 53 in via ng\* 
03200 allow udp from 83.220.35.98 53 to 192.168.100.0/24 out via ng\* 
04000 allow tcp from 111.111.111.111 to any dst-port 1022 out via rl0 
04100 allow tcp from any 1022 to 111.111.111.111 in via rl0 
04200 allow tcp from any 1022 to 192.168.101.0/24 in via rl0 
04300 allow tcp from 192.168.101.0/24 to any dst-port 1022 in via xl0 
04400 allow tcp from any 1022 to 192.168.101.0/24 out via xl0 
04500 allow tcp from 111.111.111.111 to any dst-port 22 out via rl0 
04600 allow tcp from any 22 to 111.111.111.111 in via rl0 
04700 allow tcp from any 22 to 192.168.101.0/24 in via rl0 
04800 allow tcp from 192.168.101.0/24 to any dst-port 22 in via xl0 
04900 allow tcp from any 22 to 192.168.101.0/24 out via xl0 
05000 allow tcp from 111.111.111.111 to any dst-port 80 out via rl0 
05100 allow tcp from any 80 to 111.111.111.111 in via rl0 
05200 allow tcp from any 80 to 192.168.101.0/24 in via rl0 
05300 allow tcp from 192.168.101.0/24 to any dst-port 80 in via xl0 
05400 allow tcp from any 80 to 192.168.101.0/24 out via xl0 
05500 allow tcp from 111.111.111.111 to any dst-port 443 out via rl0 
05600 allow tcp from any 443 to 111.111.111.111 in via rl0 
05700 allow tcp from any 443 to 192.168.101.0/24 in via rl0 
05800 allow tcp from 192.168.101.0/24 to any dst-port 443 in via xl0 
05900 allow tcp from any 443 to 192.168.101.0/24 out via xl0 
06000 allow tcp from any 80 to 192.168.100.0/24 in via rl0 
06100 allow tcp from 192.168.100.0/24 to any dst-port 80 in via ng\* 
06200 allow tcp from any 80 to 192.168.100.0/24 out via ng\* 
65000 deny ip from any to any via rl0 
65100 deny ip from any to any via ng\* 
65200 deny ip from any to any via xl0 
65535 allow ip from any to any

внутреняя сеть - 192.168.101.0/24
vpn сеть - 192.168.100.0/24
внутренний ифейс - xl0
внешний ифейс - rl0
Это правила тестовые только для настройки!!!
Подозреваю что эта праблема с natd

Подскажите в чем может быть проблема???

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

страсти то какие, ужасть просто...

00400 divert 8668 ip from 192.168.101.0/24,192.168.100.0/24 to any out via rl0
00500 divert 8668 ip from any to 111.111.111.111 in via rl0

а зачем внутреннюю сеть то натить? если ты хочешь пускать только по впну

замени на:

Код: Выделить всё

       ${fwcmd} 400 add divert 8668 ip from 192.168.101.0/24 to any out xmit rl0
       ${fwcmd} 500 add divert 8668 ip from any to me in recv rl0

[sidor-r]

а зачем внутреннюю сеть то натить? если ты хочешь пускать только по впну

Затем чтобы у серверов в сети был интернет без впн

замени на:

Код: Выделить всё

       ${fwcmd} 400 add divert 8668 ip from 192.168.101.0/24 to any out xmit rl0
       ${fwcmd} 500 add divert 8668 ip from any to me in recv rl0

Не проканывает!!!

[sidor-r]

Даже вот с такими правилами:

Код: Выделить всё

00100 divert 8668 ip from any to any via rl0 
65535 allow ip from any to any 

Приходится передергивать скрипт фаервола К

Код: Выделить всё

#sh /etc/firewall.conf /dev/null

кто знает как решить проблему?

[lykich]

Попробуй для начала убедится что ето в ipfw проблема.
Сделай
firewall_enable="YES"
firewall_type="OPEN"
/etc/rc.d/ipfw forcerestart
я натю так
00099 6667 945520 divert 8668 ip from any to any via vr0
vr0 внешний,пробывал по разному остановился на етом.