Код: Выделить всё
${fw} add nat 1 tag 8 gre from ${ext_gateway_ip} to any out via ${ext_if}
${fw} add allow tcp from ${ext_gateway_ip} to any 1723 out via ${ext_if} tagged 8
${fw} add allow gre from ${ext_gateway_ip} to any out via ${ext_if} tagged 8
Код: Выделить всё
${fw} add allow tcp from ${ext_gateway_ip} to any 1723 out via ${ext_if} tagged 8
${fw} add allow gre from ${ext_gateway_ip} to any out via ${ext_if} tagged 8
Код: Выделить всё
${fw} add nat 1 tag 8 gre from ${ext_gateway_ip} to any out via ${ext_if}
Код: Выделить всё
table\(3\)table\(3\ - Да это так.не совсем понятно без нумерации правил у вас в конфиге.
table\(3\) я так понимаю это локальные ПК которые нужно натить.
Ну тут кому как ...CTOPMbI4 писал(а):Не согласен с вами. нумерация нужна. для той же отладки. и выявление ошибок в написании конфига.
Все таки правила часто не меняют. один раз все правильно сделал и все.
нумерация правил создает определенный гиморой ...
если нужно глобально перекидывать куски конфига между собой
Код: Выделить всё
wan_int=Externall_if
lan_int=Internall_if
Разрешаем по локалке
${fwcmd} add 10 allow all from any to any via ${lan_int}
Задаем конфиг ната
${fwcmd} nat 1 config ip Externall_ip same_ports reset \
redirect_port udp 192.168.1.200:50001 50001 \
Натим исх.
${fwcmd} add 140 nat 1 tcp from 192.168.1.0/24 to any 1723 out via ${wan_int}
${fwcmd} add 150 nat 1 gre from 192.168.1.0/24 to any out via ${wan_int}
Добавил еще ip так как нужно чтобы все остальное работало
${fwcmd} add 151 nat 1 ip from 192.168.1.0/24 to any out via ${wan_int}
Обьясните смысл данного правила?!
${fwcmd} add 152 nat 1 gre from Externall_ip to any out via ${wan_int}
Исх. с ип сервера.
${fwcmd} add 190 pass tcp from Externall_ip to any 1723 out via ${wan_int}
${fwcmd} add 200 pass gre from Externall_ip to any out via ${wan_int}
${fwcmd} add 220 pass ip from Externall_ip to any out via ${wan_int}
нат для Вхд.
${fwcmd} add 300 nat 1 tcp from any 1723 to Externall_ip in via ${wan_int}
${fwcmd} add 310 nat 1 gre from any to Externall_ip in via ${wan_int}
${fwcmd} add 320 nat 1 ip from any to Externall_ip in via ${wan_int}
Разрешаем вхд. с до локалки
${fwcmd} add 400 pass tcp from any 1723 to 192.168.1.0/24 in via ${wan_int}
${fwcmd} add 410 pass gre from any to 192.168.1.0/24 in via ${wan_int}
${fwcmd} add 430 pass ip from any to 192.168.1.0/24 in via ${wan_int}
Разрешаем. Вхд. для самого сервера.
${fwcmd} add 450 pass tcp from any 1723 to Externall_ip in via ${wan_int}
При первом включении правил ВПН поднимается с шлюза. данное правило срабатывает. далее если поднять ВПН с компа в локалке.
то ВПН рвется и на данном правиле счетчик не растет. Кроме того если потом отключить ВПН с локального ПК. то ВПН уже не
поднимается с шлюза. в логах mpd видно
[b][L1] LCP: parameter negotiation failed[/b]
как я понимаю не проходит входящий gre
${fwcmd} add 460 pass gre from any to Externall_ip in via ${wan_int}
${fwcmd} add 470 pass ip from any to Externall_ip in via ${wan_int}
Код: Выделить всё
.....
${fw} nat 1 config ip ${ext_gateway_ip} reset same_ports
.....
# ====================== NAT VPN в инет ======================================================
${fw} add nat 1 tag 8 tcp from table\(3\) to any 1723 out recv ${int_if} xmit ${ext_if}
${fw} add nat 1 tag 8 gre from table\(3\) to any out recv ${int_if} xmit ${ext_if}
${fw} add allow tcp from ${ext_gateway_ip} to any 1723 out via ${ext_if} tagged 8
${fw} add allow gre from ${ext_gateway_ip} to any out via ${ext_if} tagged 8
${fw} add nat 1 tag 8 tcp from any 1723 to ${ext_gateway_ip} in via ${ext_if}
${fw} add nat 1 tag 8 gre from any to ${ext_gateway_ip} in via ${ext_if}
${fw} add allow tcp from any 1723 to table\(3\) in via ${ext_if} tagged 8
${fw} add allow gre from any to table\(3\) in via ${ext_if} tagged 8
# ============================================================================================
# =============Разрешаем шлюзу создавать VPN подключения ================
${fw} add allow tcp from ${ext_gateway_ip} to any 1723 out via ${ext_if}
${fw} add allow gre from ${ext_gateway_ip} to any out via ${ext_if}
${fw} add allow tcp from any 1723 to ${ext_gateway_ip} in via ${ext_if}
${fw} add allow gre from any to ${ext_gateway_ip} in via ${ext_if}
# Выпускаем только определенные IP, имя интерфейса задается в mpd.conf
${fw} add allow all from $host_to_budm_vpn to any out via vpn_inet
${fw} add allow all from any to $host_to_budm_vpn in via vpn_inet
# ========================================================================
# ================================================== Для VPN сервера ================================================================
# -- Общие правила
${fw} add allow tcp from ${ext_gateway_ip} 1723 to any out via ${ext_if}
${fw} add allow gre from ${ext_gateway_ip} to any out via ${ext_if}
${fw} add allow tcp from any to ${ext_gateway_ip} 1723 in via ${ext_if}
${fw} add allow gre from any to ${ext_gateway_ip} in via ${ext_if}
.....
Правиля для клиентов
.....