ipfw+natd

[snorlov]

пинги в инет отсутствуют, если удалить из rc.conf информацию о fxp0

попробуйте поставить для fxp0 DHCP

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[rmn]

как сейчас выглядят:

Код: Выделить всё

cat /etc/rc.conf

Код: Выделить всё

cat /etc/ppp/ppp.conf

Код: Выделить всё

ifconfig

Код: Выделить всё

netstat -rn

Код: Выделить всё

ipfw show

?

(после поднятия туннеля, естественно)

[anyLo]

еще раз перечитала о настройке pppoe, действительно не нужно указывать информацию для сетевого интерфейса(спасибо snorlov)
но и при выставленном fxp0=dhcp и без него ситуация не меняется. пинг не идет вообще.
cat /etc/rc.conf

Код: Выделить всё

gateway_enable="YES"
ppp_enable="YES"
ppp_profile="myisp"
ppp_mode="ddial"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_script="/etc/test"
# -- sysinstall generated deltas -- # Wed Feb 16 13:42:51 2011
ifconfig_xl0="inet 10.3.1.х  netmask 255.255.255.0"
ifconfig_fxp0="DHCP"
mousechar_start="3"
saver="daemon"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
scrnmap="koi8-r2cp866"
keyrate="normal"
keymap="ru.koi8-r"
sshd_enable="YES"
#логирование
syslogd_enable="NO"
syslog_ng_enable="YES"
hostname="test "

cat /etc/ppp/ppp.conf

Код: Выделить всё

default:
 set log Phase tun command

myisp:
 set device PPPoE:fxp0
 set authname user
 set authkey qrs
 enable dns                             # request DNS info (for resolv.conf)
 add default HISADDR                    # Add a (sticky) default route

ifconfig

Код: Выделить всё

xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=80009<RXCSUM,VLAN_MTU,LINKSTATE>
        ether 00:04:76:74:f1:bf
        inet 10.3.1.7 netmask 0xffffff00 broadcast 10.3.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:07:e9:5e:e7:9a
        inet 0.0.0.0 netmask 0xff000000 broadcast 255.255.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        options=80000<LINKSTATE>
        inet 77.243.243.141 --> 77.243.240.162 netmask 0xffffffff
        Opened by PID 502

netstat -rn

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
0.0.0.0/8          link#2             U           0        0   fxp0 =>
default            77.243.240.162     UGS         0      111   tun0
10.3.1.0/24        link#1             U           1       73    xl0
10.3.1.7           link#1             UHS         0        0    lo0
77.243.240.162     link#6             UHS         0        0   tun0
77.243.243.141     link#6             UHS         0        0    lo0
127.0.0.1          link#5             UH          0       37    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#5                        U           lo0
fe80::1%lo0                       link#5                        UHS         lo0
ff01:5::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

ipfw show

Код: Выделить всё

65535 638 62969 allow ip from any to any

туннель поднимается при загрузке

[rmn]

осталось убрать

ifconfig_fxp0="DHCP"

из rc.conf, чтобы не было подобной хрени:

Код: Выделить всё

0.0.0.0/8          link#2             U           0        0   fxp0 =>

и все должно работать

[anyLo]

не работает!!!!!!!!!!!
ping http://www.ya.ru

Код: Выделить всё

ping: cannot resolve www.ya.ru: Host name lookup failure

Код: Выделить всё

test# cat /etc/resolv.conf
domain  test
nameserver 77.243.240.230
nameserver 77.243.240.231
test#

Код: Выделить всё

test# ping 77.243.240.230
PING 77.243.240.230 (77.243.240.230): 56 data bytes
^C
--- 77.243.240.230 ping statistics ---
58 packets transmitted, 0 packets received, 100.0% packet loss

[snorlov]

Я бы вам рекомендую попробовать следующее, оставить все как есть, за исключением поднятия ppp, т.е.

Код: Выделить всё

ifconfig_fxp0="DHCP"

после чего посмотреть, что назначается fxp, у вас после поднятия ppp, не создается маршрут 0.0.0.0 на tun0, в этом и основная заковыка...
Не работает из ppp.conf строка

Код: Выделить всё

add default HISADDR   

В файле /etc/ppp/options есть строка defaultrouter ?
Можно еще попытаться в ppp.conf добавить

Код: Выделить всё

 set ifaddr 10.0.0.1/0 10.0.0.2/0  255.255.255.0 0.0.0.0

[anyLo]

fxp0 ни чего не назначается, только маска в выводе ifconfig появляется

Код: Выделить всё

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:07:e9:5e:e7:9a
        inet 0.0.0.0 netmask 0xff000000 broadcast 255.255.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        options=80000<LINKSTATE>
        inet 77.243.243.141 --> 77.243.240.161 netmask 0xffffffff
        Opened by PID 1454

и этот злосчастный маршрут создается

Код: Выделить всё

test# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
0.0.0.0/8          link#2             U           0        0   fxp0 =>
default            77.243.240.161     UGS         0        0   tun0
10.3.1.0/24        link#1             U           1      105    xl0
10.3.1.7           link#1             UHS         0        0    lo0
77.243.240.161     link#6             UHS         0        0   tun0
77.243.243.141     link#6             UHS         0        0    lo0
127.0.0.1          link#5             UH          0       24    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#5                        U           lo0
fe80::1%lo0                       link#5                        UHS         lo0
ff01:5::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo

[rmn]

у вас после поднятия ppp, не создается маршрут 0.0.0.0 на tun0, в этом и основная заковыка...
Не работает из ppp.conf строка

Код: Выделить всё

add default HISADDR   

да ладно, а это что?

Код: Выделить всё

default            77.243.240.161     UGS         0        0   tun0

default это и есть 0.0.0.0

[snorlov]

а что дает

Код: Выделить всё

ipfw -a list

[anyLo]

Код: Выделить всё

test# ipfw -a list
65535 9918 1255479 allow ip from any to any

[snorlov]

Ничего не понимаю...
Давайте задействуйте nat, который в ppp, т.е. в rc.conf

Код: Выделить всё

ppp_nat="YES"
# natd_enable="YES"
# natd_interface="tun0"
# natd_flags="-f /etc/natd.conf"

потом попробуйте что-нибудь внешнее попинговать и посмотреть ходят дли пакеты через ipfw, будет ли увеличение счетчика.
У меня честно говоря никаких идей не осталось, кроме кручения mtu ну и еще mpd поставить и попытаться через него...

[anyLo]

nat уже видоизменен. конфиги изменяла уже в различные комбинации. ни в каком варианте пинга нет.
вот еще при выставленном fxp0=DHCP при загрузке системы читаю вот такое вот:

Код: Выделить всё

DHCPDISCOVER on fxp0 to 255.255.255.255 port 67 interval 20
No DHCPOFFERS received
No working leases in persistent database - sleeping

[snorlov]

Под виндой то сам модем работает?

[anyLo]

конечно работает

[rmn]

если туннель поднялся, адреса на нем назначились, таблица маршрутизации - норм, фаерволл ничего не блочит и не идут пинги на другой конец туннеля, то либо провайдер блочит пакеты либо тролль завелся.

[anyLo]

под виндой в режиме моста, модем отлично работает.и днс пингуются. а из фри именно под pppoe пинги на адреса такого вида: 77.243.240.230 не идут совсем, а на такие http://www.ya.ru дают вот такой ответ

Код: Выделить всё

ping cannot resolv...Host name lookup failure

[Гость]

нагородили какихто соплей

удаляете natd
удаляете ipfw
запускаете ppp -ddial
показываете ifconfig когда поднимается тунель
и netstat -nr

[anyLo]

прошу прощения, что значит удаляете natd и ipfw????

[snorlov]

Это означает загрузить ядро generic или собрать ядро без указанных вами в первом посте опций...

[anyLo]

а смысл?! до создания поста так и было.

[anyLo]

к слову, пересобрала ядра, удалив опции касающиеся natd и ipfw, но пинга как не было так и нет

[anyLo]

и так...есть продолжение. система переустановлена.ядро собрано с вот такими опциями

Код: Выделить всё

options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE

rc.conf

Код: Выделить всё

# -- sysinstall generated deltas -- # Tue Mar 22 06:00:07 2011
# Created: Tue Mar 22 06:00:07 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
gateway_enable="YES"
keymap="ru.koi8-r"
sshd_enable="YES"

# -- sysinstall generated deltas -- # Tue Mar 22 13:26:56 2011
ifconfig_fxp0="DHCP"
ifconfig_xl0="inet 10.3.1.7 netmask 255.255.255.0"
defaultrouter="NO"
hostname="test.afkl.bnk"
ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="YES"
ppp_profile="skylink"
ppp_user="root"

ppp.conf

Код: Выделить всё

###   PPPoE configuration file
default:
 set log Phase tun command # you can add more detailed logging if you wish

# Данные для авторизации
skylink:
 set device PPPoE:fxp0
 set authname user9010145968
 set authkey grs4KRyJ
 set dial
 set login
 enable dns
 add default HISADDR

ifconfig

Код: Выделить всё

test# ifconfig
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=80009<RXCSUM,VLAN_MTU,LINKSTATE>
        ether 00:04:76:74:f1:bf
        inet 10.3.1.7 netmask 0xffffff00 broadcast 10.3.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:07:e9:5e:e7:9a
        inet 0.0.0.0 netmask 0xff000000 broadcast 255.255.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        Opened by PID 445

ipfw&natd отключены, теперь даже адреса туннелю не присваиваются
у кого какие мысли???

[rmn]

с работающего шлюза:

/usr/src/sys/i386/conf/ROUTER

Код: Выделить всё

...
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_NAT
options         IPFIREWALL_FORWARD
options         DUMMYNET
options         LIBALIAS

options         NETGRAPH
options         NETGRAPH_TEE
options         NETGRAPH_SOCKET
...

ifconfig

Код: Выделить всё

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:1b:21:29:aa:e2
        inet 10.10.1.2 netmask 0xffff0000 broadcast 10.10.255.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0b:6a:b5:3f:49
        inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000 
tun0: flags=8010<POINTOPOINT,MULTICAST> metric 0 mtu 1500
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
        inet xxx.xxx.xxx.xxx --> 195.5.5.208 netmask 0xffffffff 

em0 смотрит в локалку
rl0 - на adsl модем. Модем настроен как мост. Адрес 192.168.1.3 на rl0 назначен только для того, чтобы можно было попасть на модем при необходимости.

ipfw

Код: Выделить всё

00100 allow ip from any to any via lo0
00101 deny ip from any to 127.0.0.0/8
00102 deny ip from 127.0.0.0/8 to any

00200 skipto 10000 ip from any to any via em0
00201 skipto 20000 ip from any to any via rl0
00203 skipto 30000 ip from any to any via ng0

10010 deny ip from any 137-139 to any in
10011 deny ip from any to any dst-port 137-139 in
10012 deny ip from not table(2) to me dst-port 22 in
10050 deny log logamount 100 ip from not table(1) to any in
10060 pipe 2 ip from any to 10.10.4.11 out
10060 pipe 3 ip from any to 10.10.4.21 out
10060 pipe 1 ip from any to table(1) out
10100 allow tcp from any to any
10101 allow udp from any to any
10102 allow gre from any to any
10103 allow icmp from any to any
10999 skipto 65000 ip from any to any

20100 allow tcp from any to any
20101 allow udp from any to any
20102 allow gre from any to any
20103 allow icmp from any to any
20999 skipto 65000 ip from any to any

30050 allow udp from any 53 to any
30051 allow udp from any to any dst-port 53
30060 allow tcp from any to me dst-port 1723 in
30070 allow gre from any to any
30100 nat 1 ip from any to any
30999 skipto 65000 ip from any to any

65000 deny log logamount 100 ip from any to any
65535 allow ip from any to any

ipfw nat 1 config if ng0 log same_ports

сейчас стоит mpd5 с таким конфигом:

Код: Выделить всё

pppoe_client:
    create bundle static B1
    set iface route default
    set ipcp ranges 0.0.0.0/0 0.0.0.0/0
    create link static L1 pppoe
    set link action bundle B1
    set auth authname USERNAME@dsl.ukrtel.net
    set auth password PASSWORD
    set link max-redial 0
    set link mtu 1460
    set link bandwidth 100000000
    set link keep-alive 10 60
    set pppoe iface rl0
    set pppoe service ""
    open

до этого стоял ppp:

Код: Выделить всё

default:
 set log Phase tun command

Ukrtelecom:
        set device PPPoE:rl0
        set authname USERNAME@dsl.ukrtel.net
        set authkey PASSWORD
        set mru 1492
        set mtu 1492
        enable lqr
        set lqrperiod 10
        enable lqr echo
        enable echo
        set dial
        set login
        set timeout 0
        set redial 60 0
        add default HISADDR

при переходе с ppp на mpd5 изменилось только имя интерфейса в правилах ipfw (с tun0 на ng0)

rc.conf

Код: Выделить всё

ifconfig_rl0="inet 192.168.1.3  netmask 255.255.255.0"
ifconfig_em0="inet 10.10.1.2  netmask 255.255.0.0"

gateway_enable="YES"

#ppp_enable="YES"
#ppp_mode="ddial"
#ppp_profile="Ukrtelecom"
mpd5_enable="YES"

firewall_enable="YES"
firewall_script="/etc/firewall/ipfw.sh"

[anyLo]

rmn, я прошу прощения за то, что в наглую "передрала" ваш конфиг и правила для файрвола, туннель поднялся с адресами. два вопроса: в etc/resolv.conf днс провайдера перезаписываются и что означают вот эти правила:

Код: Выделить всё

10012 deny ip from not table(2) to me dst-port 22 in
10050 deny log logamount 100 ip from not table(1) to any in

[snorlov]

rmn, я прошу прощения за то, что в наглую "передрала" ваш конфиг и правила для файрвола, туннель поднялся с адресами. два вопроса: в etc/resolv.conf днс провайдера перезаписываются и что означают вот эти правила:

Код: Выделить всё

10012 deny ip from not table(2) to me dst-port 22 in
10050 deny log logamount 100 ip from not table(1) to any in

Они и должны перезаписываться, поскольку адрес вы получаете от dhcp провайдреа, а по-второму

Код: Выделить всё

man ipfw