wlan0<->rl0(dhcp)<->mpd5(l2tp) и изоляция от nfe0

woojin · Непрочитанное сообщение **woojin** » 2020-11-19 17:18:40

здравствуйте форумчане!

есть машина с FreeBSD 12.2 у которой 3 сетевухи
1 - nfe0 встроенная, смотрит на одного провайдера (для работы самой фряхи)
2 - wlan0 смотрит на другого провайдера находящегося за "стенкой" и получает от него ip по dhcp (для выпуска в и-нет локалки)
3 - rl0 смотрит в локалку через роутеры (для подключения клиентов)

1. поставлена задача:
1.1. на rl0 поднять mpd5 (l2tp) что бы подключать роутеры (кстати тут dhcp серевер)
1.2. сделать изолированный от nfe0 переброс трафика и всё что с этим связано от wlan0 в rl0

2. что сделано:
2.1. сама фряха в и-нет ходит без проблем через nfe0
2.2. mpd5 и l2tp подняты и железо цепляется нормально пинги летают на ура от железок к системе

не знаю как сделать 1.2.

читал про ipfw_nat что можно сделать как то через него, но почему то не летят пакеты дальше rl0
чем лучше сделать данный "тунель"

если можно то с конфигами пожалуйста

P.S.
l2tp выдаёт ip'шники из 10.250.253.0/24 шлюз 10.250.248.1 dns 10.255.0.8
на rl0 его родной ip 172.16.0.1/24 и dhcp между 10 и 20 шлюз 172.16.0.1
nfe0 ip 10.10.10.50 шлюз 10.10.10.10.1 dns 10.10.10.2

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ыть · Непрочитанное сообщение **ыть** » 2020-11-19 17:32:51

woojin писал(а): ↑
2020-11-19 17:18:40
сделать изолированный от nfe0 переброс трафика и всё что с этим связано от wlan0 в rl0

нихира не понял..
что значит "переброс"?
чтоб клиенты в инет ходили через "провайдера за стенкой"?..

ыть · Непрочитанное сообщение **ыть** » 2020-11-19 17:34:57

выражайтесь яснее.. а не как.. серожа михеев)))

woojin · Непрочитанное сообщение **woojin** » 2020-11-19 18:10:58

ыть писал(а): ↑
2020-11-19 17:32:51
что значит "переброс"?
чтоб клиенты в инет ходили через "провайдера за стенкой"?..

это значит что все клиенты которые получили ip адреса от mpd5 висящий на rl0 получали и отправляли запросы в мир только через wlan0
и что бы все возможности (gw/dns) которые выданы dhcp сервером wlan0 были доступны и для клиентов подключеных к l2tp

так понятнее?

ыть · Непрочитанное сообщение **ыть** » 2020-11-19 21:53:04

woojin писал(а): ↑
2020-11-19 18:10:58
и что бы все возможности (gw/dns) которые выданы dhcp сервером wlan0 были доступны и для клиентов подключеных к l2tp

возможностью gw клиентские сети обеспечивает (должен обеспечить) mpd
для доступа к сервисам (dns, mail, www и т.п.), находящимся за пределами сети на wlan0 интерфейсе, очевидно, нужно настроить nat..

woojin · Непрочитанное сообщение **woojin** » 2020-11-20 21:03:26

я об это читал, но так и не смог разобраться каким образом настроить nat в ipfw для ретрансляции
можете подсказать правильную конфигурацию?

novik · Непрочитанное сообщение **novik** » 2020-11-21 0:31:50

woojin писал(а): ↑
2020-11-20 21:03:26
так и не смог разобраться каким образом настроить nat в ipfw

Тогда настройте в pf.

Код: Выделить всё

nat [pass [log]] on interface [af] from src_addr [port src_port] to dst_addr [port dst_port] -> ext_addr [pool_type] [static-port]

novik · Непрочитанное сообщение **novik** » 2020-11-21 0:37:45

Если я вас правильно понял, то вам нужно это:

Код: Выделить всё

nat on wlan0 from rl0:network to any -> wlan0

woojin · Непрочитанное сообщение **woojin** » 2020-11-21 18:36:48

novik писал(а): ↑
2020-11-21 0:37:45
Если я вас правильно понял, то вам нужно это:
Код: Выделить всё
nat on wlan0 from rl0:network to any -> wlan0

на данное правило вот что пишет (пока у меня там всего два правила):

Код: Выделить всё

# ipfw_chk
Line 1:         add allow ip from any to any
        00000 allow ip from any to any
Line 2:         nat on wlan0 from rl1:network to any -> wlan0
ipfw: bad command `on'

ipfw_chk - это мой скрипт для проверки правил

novik · Непрочитанное сообщение **novik** » 2020-11-22 4:38:28

woojin писал(а): ↑
2020-11-21 18:36:48
ipfw: bad command `on'

Это было правило для pf, на тот случай если вам всё-таки не нужен непременно ipfw.

woojin писал(а): ↑
2020-11-21 18:36:48
для проверки правил

Код: Выделить всё

pfctl -nf /etc/pf.conf

woojin · Непрочитанное сообщение **woojin** » 2020-11-22 17:19:13

о!
а про него я не читал!
это то же некое подобие фаервола?

P.S. мне в принципе до лампочки при помощи чего будет проходить информация от одной сетевухи к другой
про pf надо почитать, может быть он подойдёт больше

woojin · Непрочитанное сообщение **woojin** » 2020-11-23 4:11:34

о!
а про него я не читал!
это то же некое подобие фаервола?

P.S. мне в принципе до лампочки при помощи чего будет проходить информация от одной сетевухи к другой
про pf надо почитать, может быть он подойдёт больше

novik · Непрочитанное сообщение **novik** » 2020-11-23 5:10:52

woojin писал(а): ↑
2020-11-23 4:11:34
это то же некое подобие фаервола?

Одно из трёх.

woojin · Непрочитанное сообщение **woojin** » 2020-11-26 13:05:52

не помог мне ваш вариант
видимо я в очередной раз запутался

woojin · Непрочитанное сообщение **woojin** » 2020-11-26 16:36:52

всё таки пробую через ipfw_nat
пока получилось что бы пинги летали <-> на конкретные ip адреса
а вот что бы на имя... пока

forum.lissyara.su