Мой первый FreeBSD сервер.

[mrFANRA]

Здравствуйте.

Задумал я на днях разобраться с Юнисовой системой какой-то для общеобразовательных целей, на примере FreeBSB 9.0. До этого с администрированием серверов\сетей не сталкивался, тем более с самими юниксами, хотя и род деятельности ИТшный. В общем решил сей пробел исправлять, не ставя цель становиться гуру, но и в юниксах и сетях бамбуком не выглядеть.

Как задачу взял поставить сервер DHCP на 2-х сетевых с применением RAID-1 для мини офиса с возможностью внешнего доступа, веб сервер(PHP&MySQL&Mail), FTP, разделенное по доступу файловое хранилище для сотрудников офиса. В общем все стандартненько и думаю этого за глаза должно хватить для обучения. Что бы не плодить темы, создал одну и буду просить помощи в чем не смогу сам разобраться.

На данный момент удалось поставить сервер, поднять на нем DHCP, и даже все работает и получается выходить в сеть через него. Но вот не получается толком разобраться с файрволлом IPWF. Сама структура сети на изображении во вложении.

В итоге вот какая у меня проблема и непонимание файрволла:

Код: Выделить всё

############### Script fw_script.01 with ipfw comands #############
# Made by article :http://xn--e1aqefacot6f.xn--p1ai/index.php/freebsd/5-freebsd-9-x-internet-shlyuz-router
exface="bge0"                           # Outside
inface="vr0"                            # Inside
in_ip="172.16.3.110"                    # IP inside server
pre_com="ipfw -q"

$pre_com -f flush
$pre_com add 100 allow ip from any to any via lo0
$pre_com add 200 deny ip from any to 127.0.0.0/8
$pre_com add 300 deny ip from 127.0.0.0/8 to any

$pre_com add 400 allow all from any to any via $inface
$pre_com nat 1 config log if $exface reset same_ports deny_in
$pre_com add 1030 nat 1 ip from any to any via $exface

В таком случае у меня вроде как все нормально. Внутренние компы видят интернет, пингуют друг друга, сервер из вне не пингуется.
Решил открыть доступ из вне что бы подключиться к серверу по SSH, пока без заморочек на безопасность... а просто что бы работало хоть как то.

Добавил:

Код: Выделить всё

$pre_com add 500 allow all from any to any via $exface

В итоге доступ есть на сервер из вне и внутренней сети, НО при этом у внутренней машине пропал интернет, при чем при пинговке яндекса того же, он IP его узнает:

Код: Выделить всё

C:\Users\CompB>ping ya.ru
 
Обмен пакетами с ya.ru [93.158.134.203] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
 
Статистика Ping для 93.158.134.203:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

Заранее спасибо за помощь!!!



Подробности системы:

Код: Выделить всё

FreeBSD# ifconfig
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=c019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLA                                                                             N_HWTSO,LINKSTATE>
        ether 00:1a:4b:c5:42:7e
        inet 192.168.3.110 netmask 0xffffff00 broadcast 192.168.3.255
        inet6 fe80::21a:4bff:fec5:427e%bge0 prefixlen 64 scopeid 0x1
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
        ether b8:a3:86:91:73:2d
        inet 172.16.3.110 netmask 0xffffff00 broadcast 172.16.3.255
        inet6 fe80::baa3:86ff:fe91:732d%vr0 prefixlen 64 scopeid 0x7
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x9
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Код: Выделить всё

=====line 1 col 0 lines from top 1 ============================================
hostname="myfirstserver.com"

ifconfig_bge0="inet 192.168.3.110 netmask 255.255.255.0"
ifconfig_vr0="inet 172.16.3.110 netmask 255.255.255.0"
defaultrouter="192.168.3.1"

# ==================== BIND =============================================
named_enable="YES" # autolounch BIND
named_auto_forward="YES" # auto configuring forward server
# =======================================================================
# ==================== DHCP =============================================
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="vr0"
#========================================================================

sshd_enable="YES"
ntpd_enable="YES"
powerd_enable="YES"

# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="NO"
gateway_enable="YES"

#==================== Firewall configuration ============================
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_script="/etc/fw_script.01"
firewall_type="UNKNOWN"
#========================================================================

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mrFANRA]

В схеме сети вкралась очепятка FreeBSD bge0 вместо 192.168.3.106 => 192.168.3.110

[vadim64]

в чём вопрос то?

[mrFANRA]

в чём вопрос то?

Я не могу понять почему при такой конфигурации файрволла:

Код: Выделить всё

$pre_com -f flush
$pre_com add 100 allow ip from any to any via lo0
$pre_com add 200 deny ip from any to 127.0.0.0/8
$pre_com add 300 deny ip from 127.0.0.0/8 to any

$pre_com add 400 allow all from any to any via $inface
$pre_com add 500 allow all from any to any via $exface
$pre_com nat 1 config log if $exface reset same_ports deny_in
$pre_com add 1030 nat 1 ip from any to any via $exface

У меня внутренняя сеть не может выходить в интернет. Ведь я вроде разрешаю внешней и внутренним сетям все и вся....

[Shuba]

Вообщем так: у тебя пакеты из внутренней сети сперва проходили на внутреннем интерфейсе по 400 правилу, а потом на внешнем по 1030 фаер менял адрес источника. После введения правила 500 пакеты не доходят до 1030 правила, т.к. всё срабатывает на 500-ом правиле и замены адреса источника не происходит. Соответственно оборудование твоего поставщика интернета не знает, куда отсылать пакеты и они убиваются. Если ты хочешь что-то открыть снаружи - то открывай не всё, а только нужное. Например если нужно открыть апач, то пиши нечто вроде такого:

Код: Выделить всё

ipfw add 500 pass tcp from any to 192.168.3.111 dst-port 80 via bge0
ipfw add 600 pass tcp from 192.168.3.111 to any src-port 80 via bge0

Статистику пакетов и байт на фаере можешь посмотреть командой

Код: Выделить всё

ipfw show

а статистику вместе со временем последнего срабатывания

Код: Выделить всё

ipfw -t show

И ваще, кури маны по фаеру

[mrFANRA]

И ваще, кури маны по фаеру

Спасибо, работает! Маны куримс, но курить приходится много и с наскока тяжело дается и мозг от такого наплыва инфы просто отказывается воспринимать сразу, тем более приходится еще курить дополнительно все что связано с сетями ... от простого сложного оно как то проще. Еще раз спасибо, Ваш пост очень многое для меня прояснил, собственно получил тот ответ который я и искал.

[rayder]

ну как вам сказать... у меня только одно пожелание - что бы все начинающие были похожи на Вас

[mrFANRA]

ну как вам сказать... у меня только одно пожелание - что бы все начинающие были похожи на Вас

Хех спасибо , но я опять встрял. И возможно опять в IPFW...
На данный момент поднимаю OpenVPN, что бы из вне можно было работать в своей внутренней сети. Ключи сгенерировал, клиент на Win машине даже у меня подключился, чем не сказанно меня удивил, получил IP который был прописан на сервере для него и тд. НО внутреняя сеть у меня не доступна, пинги не проходят.

У меня 2 подозрения, возможно косяк в обоих.

Первое что я не понимаю это строку в конфиге OpenVPN:

Код: Выделить всё

push "route 192.168.3.110 255.255.255.0 172.16.3.110"

Т.е. это маршрут тот самый из-за которого возможно я и не вижу сетку. Но что должно быть в этих IP в моем случае?
Я прописал интерфейсы внешний и внутренний, верно ли?

И второй момент это все тот же IPFW. Я по такому же принципу, как было подсказано выше, открыл внешний порт по которому бегает OpenVPN:

Код: Выделить всё

$pre_com add 700 pass tcp from any to 192.168.3.110 dst-port 1194 via $exface
$pre_com add 800 pass tcp from 192.168.3.110 to any src-port 1194 via $exface

Но после запуска OpenVPN у меня появлися еще один интерфейс tap0, подозреваю что нужно еще как то и его увязать с внешкой в файре?

[mrFANRA]

К сожалению проблема все еще акутальна. Не получается увидеть локальную сеть за сервером через OpenVPN =(. Ну могу понять где проблема.

Ifconfig сервера:

Код: Выделить всё

bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=c019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLAN_HWTSO,LINKSTATE>
        ether 00:1a:4b:c5:42:7e
        inet 192.168.3.110 netmask 0xffffff00 broadcast 192.168.3.255
        inet6 fe80::21a:4bff:fec5:427e%bge0 prefixlen 64 scopeid 0x1
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
        ether b8:a3:86:91:73:2d
        inet 172.16.3.1 netmask 0xffffff00 broadcast 172.16.3.255
        inet6 fe80::baa3:86ff:fe91:732d%vr0 prefixlen 64 scopeid 0x7
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (none)
        status: no carrier
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x9
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        ether 00:bd:2a:37:00:00
        inet6 fe80::2bd:2aff:fe37:0%tap0 prefixlen 64 scopeid 0xb
        inet 10.1.0.1 netmask 0xffffff00 broadcast 10.1.0.255
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        Opened by PID 1524

Конфиг OpenVPN на сервере:

Код: Выделить всё

mode server
tls-server
daemon
server 10.1.0.0 255.255.255.0
port 1194
proto tcp-server
dev tap0

ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem

push "route 172.16.3.0  255.255.255.0"
client-config-dir /usr/local/etc/openvpn/ccd
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
verb 3
log-append /var/log/openvpn.log

Конфиг пользователя на сервере(CCD):

Код: Выделить всё

ifconfig-push 172.16.3.52 255.255.255.0

Конфиг IPFW:

Код: Выделить всё

exface="bge0"                   # Outside
inface="vr0"                    # Inside
remface="tap0"                  # OpenVPN
in_ip="172.16.3.1"              # IP inside server
out_ip="192.168.3.110"          # IP outside server

cmd="ipfw -q"                   # Prefix
ks="keep-state"                 # keep-state

$cmd -f flush
$cmd add 101 allow ip from any to any via lo0
$cmd add 102 deny ip from any to 127.0.0.0/8
$cmd add 103 deny ip from 127.0.0.0/8 to any

$cmd add 200 allow all from any to any via $inface
$cmd add 201 allow all from any to any via $remface

#===== Opening SSH ==========
$cmd add 401 allow tcp from any to $out_ip dst-port 22 via $exface
$cmd add 402 allow tcp from $out_ip to any src-port 22 via $exface
#====== Opening OpenVPN ======
$cmd add 500 allow tcp from any to $out_ip dst-port 1194 via $exface setup $ks
$cmd add 501 allow tcp from $out_ip to any src-port 1194 via $exface $ks
$cmd add 502 allow all from any to any via $remface $ks
$cmd add 503 allow all from any to any via $remface $ks
#=============================

$cmd nat 1 config log if $exface reset same_ports deny_in
$cmd add 1030 nat 1 ip from any to any via $exface

========================== Далее клиент Windows 8 =================================
Конфиг клиента:

Код: Выделить всё

client
dev tap
proto tcp

# Внешний адрес офисного сервера
remote 192.168.3.110 1194

resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
ns-cert-type server

# =========
route-method exe
route-delay 2

# Файлы ключей
ca C:\\acs\\ca.crt
cert C:\\acs\\mrFANRA.crt
key C:\\acs\\mrFANRA.key

Лог подкючения клиента:

Код: Выделить всё

Sat Dec 15 12:47:04 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Sat Dec 15 12:47:04 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Dec 15 12:47:05 2012 LZO compression initialized
Sat Dec 15 12:47:05 2012 Attempting to establish TCP connection with 192.168.3.110:1194
Sat Dec 15 12:47:05 2012 TCP connection established with 192.168.3.110:1194
Sat Dec 15 12:47:05 2012 TCPv4_CLIENT link local: [undef]
Sat Dec 15 12:47:05 2012 TCPv4_CLIENT link remote: 192.168.3.110:1194
Sat Dec 15 12:47:05 2012 [server] Peer Connection Initiated with 192.168.3.110:1194
Sat Dec 15 12:47:08 2012 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{A7B30AC5-180F-47A8-9AC5-5ABAF637858D}.tap
Sat Dec 15 12:47:08 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.16.3.52/255.255.255.0 on interface {A7B30AC5-180F-47A8-9AC5-5ABAF637858D} [DHCP-serv: 172.16.3.0, lease-time: 31536000]
Sat Dec 15 12:47:08 2012 Successful ARP Flush on interface [21] {A7B30AC5-180F-47A8-9AC5-5ABAF637858D}
 OK!
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.3.1 p=0 i=13 t=4 pr=3 a=44770 h=0 m=25/0/0/0/0
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=44834 h=0 m=306/0/0/0/0
127.0.0.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=44834 h=0 m=306/0/0/0/0
127.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=44834 h=0 m=306/0/0/0/0
172.16.3.0 255.255.255.0 172.16.3.52 p=0 i=21 t=3 pr=2 a=32 h=0 m=286/0/0/0/0
172.16.3.0 255.255.255.0 10.1.0.1 p=0 i=13 t=4 pr=3 a=0 h=0 m=26/0/0/0/0
172.16.3.52 255.255.255.255 172.16.3.52 p=0 i=21 t=3 pr=2 a=32 h=0 m=286/0/0/0/0
172.16.3.255 255.255.255.255 172.16.3.52 p=0 i=21 t=3 pr=2 a=32 h=0 m=286/0/0/0/0
192.168.3.0 255.255.255.0 192.168.3.104 p=0 i=13 t=3 pr=2 a=44770 h=0 m=281/0/0/0/0
192.168.3.104 255.255.255.255 192.168.3.104 p=0 i=13 t=3 pr=2 a=44770 h=0 m=281/0/0/0/0
192.168.3.255 255.255.255.255 192.168.3.104 p=0 i=13 t=3 pr=2 a=44770 h=0 m=281/0/0/0/0
224.0.0.0 240.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=44834 h=0 m=306/0/0/0/0
224.0.0.0 240.0.0.0 172.16.3.52 p=0 i=21 t=3 pr=2 a=44813 h=0 m=286/0/0/0/0
224.0.0.0 240.0.0.0 192.168.3.104 p=0 i=13 t=3 pr=2 a=44792 h=0 m=281/0/0/0/0
255.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=44834 h=0 m=306/0/0/0/0
255.255.255.255 255.255.255.255 172.16.3.52 p=0 i=21 t=3 pr=2 a=44813 h=0 m=286/0/0/0/0
255.255.255.255 255.255.255.255 192.168.3.104 p=0 i=13 t=3 pr=2 a=44792 h=0 m=281/0/0/0/0
SYSTEM ADAPTER LIST
TAP-Win32 Adapter V9
  Index = 21
  GUID = {A7B30AC5-180F-47A8-9AC5-5ABAF637858D}
  IP = 172.16.3.52/255.255.255.0 
  MAC = 00:ff:a7:b3:0a:c5
  GATEWAY = 0.0.0.0/255.255.255.255 
  DHCP SERV = 172.16.3.0/255.255.255.255 
  DHCP LEASE OBTAINED = Sat Dec 15 12:47:07 2012
  DHCP LEASE EXPIRES  = Sat Apr 11 18:36:36 1970
  DNS SERV =  
Microsoft Wi-Fi Direct Virtual Adapter
  Index = 17
  GUID = {2FA192D2-6D8F-4679-A8CB-816B4D9FE3B8}
  IP = 0.0.0.0/0.0.0.0 
  MAC = 84:a6:c8:a2:fa:54
  GATEWAY = 0.0.0.0/255.255.255.255 
  DHCP SERV =  
  DHCP LEASE OBTAINED = Sat Dec 15 12:47:40 2012
  DHCP LEASE EXPIRES  = Sat Apr 11 18:47:16 1970
  DNS SERV =  
Bluetooth Device (Personal Area Network)
  Index = 15
  GUID = {6714380F-2BE2-4DED-9F45-C0130D15D452}
  IP = 0.0.0.0/0.0.0.0 
  MAC = 84:a6:c8:a2:fa:57
  GATEWAY = 0.0.0.0/255.255.255.255 
  DHCP SERV =  
  DHCP LEASE OBTAINED = Sat Dec 15 12:47:40 2012
  DHCP LEASE EXPIRES  = Sat Apr 11 18:57:56 1970
  DNS SERV =  
Intel(R) Centrino(R) Wireless-N 2230
  Index = 13
  GUID = {C2E625F7-9904-4213-AEA5-05778E2AC499}
  IP = 192.168.3.104/255.255.255.0 
  MAC = 84:a6:c8:a2:fa:53
  GATEWAY = 192.168.3.1/255.255.255.255 
  DHCP SERV = 192.168.3.1/255.255.255.255 
  DHCP LEASE OBTAINED = Sat Dec 15 12:29:36 2012
  DHCP LEASE EXPIRES  = Thu Jan 01 02:00:00 1970
  DNS SERV = 213.154.124.1/255.255.255.255 193.231.252.1/255.255.255.255 
Realtek PCIe GBE Family Controller
  Index = 12
  GUID = {1D7A95FD-CB3F-47E6-B3E7-A1BB5EC95B4F}
  IP = 0.0.0.0/0.0.0.0 
  MAC = 54:53:ed:ad:bc:44
  GATEWAY = 172.16.3.1/255.255.255.255 
  DHCP SERV =  
  DHCP LEASE OBTAINED = Sat Dec 15 12:47:40 2012
  DHCP LEASE EXPIRES  = Fri Dec 20 19:29:16 1991
  DNS SERV =  
Sat Dec 15 12:47:41 2012 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

Лог подключения на сервере:

Код: Выделить всё

Sat Dec 15 12:46:32 2012 OpenVPN 2.2.2 i386-portbld-freebsd9.0 [SSL] [LZO2] [eurephia] built on Dec 12 2012
Sat Dec 15 12:46:32 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Dec 15 12:46:32 2012 Diffie-Hellman initialized with 1024 bit key
Sat Dec 15 12:46:32 2012 TLS-Auth MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Dec 15 12:46:32 2012 Socket Buffers: R=[65536->65536] S=[32768->65536]
Sat Dec 15 12:46:32 2012 TUN/TAP device /dev/tap0 opened
Sat Dec 15 12:46:32 2012 /sbin/ifconfig tap0 10.1.0.1 netmask 255.255.255.0 mtu 1500 up
Sat Dec 15 12:46:32 2012 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Dec 15 12:46:32 2012 Listening for incoming TCP connection on [undef]:1194
Sat Dec 15 12:46:32 2012 TCPv4_SERVER link local (bound): [undef]:1194
Sat Dec 15 12:46:32 2012 TCPv4_SERVER link remote: [undef]
Sat Dec 15 12:46:32 2012 MULTI: multi_init called, r=256 v=256
Sat Dec 15 12:46:32 2012 IFCONFIG POOL: base=10.1.0.2 size=253
Sat Dec 15 12:46:32 2012 MULTI: TCP INIT maxclients=1024 maxevents=1028
Sat Dec 15 12:46:32 2012 Initialization Sequence Completed
Sat Dec 15 12:47:03 2012 MULTI: multi_create_instance called
Sat Dec 15 12:47:03 2012 Re-using SSL/TLS context
Sat Dec 15 12:47:03 2012 LZO compression initialized
Sat Dec 15 12:47:03 2012 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Dec 15 12:47:03 2012 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Dec 15 12:47:03 2012 Local Options hash (VER=V4): '3e6d1056'
Sat Dec 15 12:47:03 2012 Expected Remote Options hash (VER=V4): '31fdf004'
Sat Dec 15 12:47:03 2012 TCP connection established with 192.168.3.104:57705
Sat Dec 15 12:47:04 2012 TCPv4_SERVER link local: [undef]
Sat Dec 15 12:47:04 2012 TCPv4_SERVER link remote: 192.168.3.104:57705
Sat Dec 15 12:47:04 2012 192.168.3.104:57705 TLS: Initial packet from 192.168.3.104:57705, sid=fc172ea0 f17c8a0d
Sat Dec 15 12:47:04 2012 192.168.3.104:57705 VERIFY OK: depth=1, /C=RO/ST=BU/L=Bucuresti/O=my-office/OU=IT/CN=server/name=server/emailAddress=r.f@my-office.com
Sat Dec 15 12:47:04 2012 192.168.3.104:57705 VERIFY OK: depth=0, /C=RO/ST=BU/L=Bucuresti/O=my-office/OU=IT/CN=mrFANRA/name=mrFANRA/emailAddress=r.f@my-office.com
Sat Dec 15 12:47:04 2012 192.168.3.104:57705 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Dec 15 12:47:04 2012 192.168.3.104:57705 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Dec 15 12:47:04 2012 192.168.3.104:57705 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Dec 15 12:47:04 2012 192.168.3.104:57705 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Dec 15 12:47:04 2012 192.168.3.104:57705 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Dec 15 12:47:04 2012 192.168.3.104:57705 [mrFANRA] Peer Connection Initiated with 192.168.3.104:57705
Sat Dec 15 12:47:04 2012 mrFANRA/192.168.3.104:57705 OPTIONS IMPORT: reading client specific options from: /usr/local/etc/openvpn/ccd/mrFANRA
Sat Dec 15 12:47:04 2012 mrFANRA/192.168.3.104:57705 MULTI ERROR: primary virtual IP for mrFANRA/192.168.3.104:57705 (172.16.3.52) violates tunnel network/netmask const
Sat Dec 15 12:47:07 2012 mrFANRA/192.168.3.104:57705 PUSH: Received control message: 'PUSH_REQUEST'

ipconfig /all

Код: Выделить всё

Windows IP Configuration

   Host Name . . . . . . . . . . . . : mrFANRA
   Primary Dns Suffix  . . . . . . . : 
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection 2:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : TAP-Win32 Adapter V9
   Physical Address. . . . . . . . . : 00-FF-A7-B3-0A-C5
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::b954:dfe6:9cf3:18ec%21(Preferred) 
   IPv4 Address. . . . . . . . . . . : 172.16.3.52(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : 15 ¤ҐЄ Ўап 2012 Ј. 12:47:07
   Lease Expires . . . . . . . . . . : 15 ¤ҐЄ Ўап 2013 Ј. 12:47:07
   Default Gateway . . . . . . . . . : 
   DHCP Server . . . . . . . . . . . : 172.16.3.0
   DHCPv6 IAID . . . . . . . . . . . : 604045223
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-18-01-5B-EC-54-53-ED-AD-BC-44
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Wireless LAN adapter Local Area Connection* 12:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Physical Address. . . . . . . . . : 84-A6-C8-A2-FA-54
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Ethernet adapter Bluetooth Network Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Physical Address. . . . . . . . . : 84-A6-C8-A2-FA-57
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Wi-Fi:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Intel(R) Centrino(R) Wireless-N 2230
   Physical Address. . . . . . . . . : 84-A6-C8-A2-FA-53
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::8506:a34:5e6c:7f87%13(Preferred) 
   IPv4 Address. . . . . . . . . . . : 192.168.3.104(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : 15 ¤ҐЄ Ўап 2012 Ј. 0:21:29
   Lease Expires . . . . . . . . . . : 16 ¤ҐЄ Ўап 2012 Ј. 12:29:36
   Default Gateway . . . . . . . . . : 192.168.3.1
   DHCP Server . . . . . . . . . . . : 192.168.3.1
   DHCPv6 IAID . . . . . . . . . . . : 327460552
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-18-01-5B-EC-54-53-ED-AD-BC-44
   DNS Servers . . . . . . . . . . . : 213.154.124.1
                                       193.231.252.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Ethernet:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : office.myoffice.com
   Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Physical Address. . . . . . . . . : 54-53-ED-AD-BC-44
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{C2E625F7-9904-4213-AEA5-05778E2AC499}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{A7B30AC5-180F-47A8-9AC5-5ABAF637858D}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #5
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Что то явное с роутингом... но что и как не могу понять, хоть убей. Заранее спасибо за помощь

[Shuba]

В опенвпн толком не разбирался у тебя, т.к. сам его очень давно настраивал и с тех пор он работает без проблем, но если интерфейс на винде появился - то ковырять и впрямь нужно роутинг. По поводу конфигов фаера: правила 502 и 503 мало тог, что полностью идентичны, так ещё и дублируют правило 201, нафига - не понятно; зачем в праивлах 500, 501, 502 и 503 проверка состояния, если проверки состояния не имеется?; кроме того, зачем в правилах 500 и 501 вообще проверка состояния, если они и так прописаны и для входящего, и для исходящего трафика по порту 1194? Вообщем ещё раз говорю, читай доку по фаеру. Вот для начала тебе пару ссылок: перевод хэндбука и очень хорошая статья по ядерному NAT-у. По поводу проверски работы фаера и вообще сети - читай доки по tcpdump, например здесь

[mrFANRA]

Да то все результаты свистоплясок по изучению этого дела... пардон, забыл вычистить.


Так а что по OpenVPN неужели нет тут спецов по нему =(?

[Shuba]

Да то все результаты свистоплясок по изучению этого дела... пардон, забыл вычистить.


Так а что по OpenVPN неужели нет тут спецов по нему =(?

Раз нету, то пора самому становиться таковым. Вот те ссыль, сиди - читай, студент!

[mrFANRA]

Да то все результаты свистоплясок по изучению этого дела... пардон, забыл вычистить.


Так а что по OpenVPN неужели нет тут спецов по нему =(?

Раз нету, то пора самому становиться таковым. Вот те ссыль, сиди - читай, студент!

Хм ... похоже у меня путаница с типами тунелелей tun\tap на сервере, клиенте и тд. Перенастроил но не пускает терперь вообще. Сейчас будем разбираться...

Такой вопрос опять по файру, я не совсем понимаю в данном случае что описывать и нужно ли вообще, а конкретно интерфейсы.

Те мы должны по идее разрешить вначале вход по внешнему интефрейсу(bge0) с любого адреса на 1194 порт. А потом разрешить все и вся по tun0 уже в рамках OpenVPN. Так?