VPN сквозь сервер на FreeBSD

[Jetro]

Долго думал как лучше назвать тему, в итоге фантазии хватило только на то что видите сейчас .

Ситуация следующая - имеется прокси-сервер на FreeBSD (одна сетевуха смотрит в интернет, вторая в локальную сеть), и есть в сети некий компьютер, на котором нужно соединится по VPN с удаленным сервером. Проблема в том что реализовать подключение через прокси вряд-ли возможно. Можно конечно через NAT, но владельцу компьютера интернет не положен. Из-за этого было решено сделать переадресацию портов, но что-то не очень получается.

Изначально пытался все сделать через IPFW - сделал такие правиила:

Код: Выделить всё

$IPFW add 100 fwd 1.1.1.1,1723 ip from ${NetIn}/${NetMask} to ${IpIn} 1723
$IPFW add 100 fwd 1.1.1.1,47 ip from ${NetIn}/${NetMask} to ${IpIn} 47

но VPN работать отказался, говорит что указанный узел не найден (800 ошибка).
Начал делать через rinetd:

Код: Выделить всё

192.168.0.1 1723	1.1.1.1 1723
192.168.0.1 47		1.1.1.1 47

вроди пошло, но на шаге проверки логинопароля получаю ошибку, если не ошибаюсь номер 721. Как я понял rinetd не работает с GRE, то есть авторизоваться по 47 порту через него не получится.

Есть у кого-то опыт переадресации портов для VPN? Дайте совет.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Gamerman]

так откройте только нужный IP, если инет не положен.

[mak_v_]

openvpn прекрасно работает через proxy

[opt1k]

для полной картинки не хватает версии фряхи и описания реализации vpn.

[Jetro]

так откройте только нужный IP, если инет не положен.

Такое решение я оставил на крайний случай. Для начала все таки хотелось-бы попытаться пробросить порты.

openvpn прекрасно работает через proxy

Не вариант - подключение использует программа, которая ищет подключение с определенным именем. Если подключения с нужным именем не окажется, даже при активном соединении с удаленным сервером - программа работать откажется.

для полной картинки не хватает версии фряхи и описания реализации vpn.

FreeBSD 8.1-Release.
На моей стороне - Win XP Sp3, подключение vpn создано мастером - все по дефолту. На FreeBSD стоит Squid 3.1.9, Плюс natd. Через нат все работает без проблем.
На стороне удаленного сервера - неизвестно. Мне дали только логин и пасс, а на вопросы об оборудовании ответили только то что для работы нужны 1723 и 47 порты. Больше инфоррмации нет.

[gumeniuc]

47 это не номер порта, а номер протокола (GRE). вообще не понял что значит "пробросить порты" в данном случае ? Конфигурацию ipfw не видел, но: либо надо разрешить входящие соединения на внутреннем интерфейсе с этого компа до определённого сервера - если натится всё, либо добавить конкретные правила для ната.

[Jetro]

О GRE я кстати в первом посту писал, а в предыдущем попросту процитировал что мне ответили на мои вопросы.
Смысл слова "Пробросить порты" я вижу в следующем - если в подключении указать не адрес vpn сервера, а адрес фряхи, то при соединении фря перебросит запрос не нужный сервер.
Вижу что действительно придется использовать нат, а мне в голову лезут плохие мысли о каких-то переадресациях vpn и пр.

[mak_v_]

порт "внутрь" вы пробросили, "запрос" попадёт на ваш сервер.
а "ответ" от внутреннего сервера как пойдёт "наружу"???? через прокси тут не прокатит - соответственно только нат.

[snorlov]

Вы можете задействовать 2-а ната, один нат ля всех второй только для нужный адресов и внутреннего и внешнего...

[telo]

Код: Выделить всё

    $IPFW add 100 fwd 1.1.1.1,1723 ip from ${NetIn}/${NetMask} to ${IpIn} 1723
    $IPFW add 100 fwd 1.1.1.1,47 ip from ${NetIn}/${NetMask} to ${IpIn} 47

быть может стОит заменить ip на gre? (ну и убрать указание порта под номером 47)

[Jetro]

Давно сюда не заглядывал, так как проблему решил.
Подключил нужный компьютер к нату, после чего заблочил через файрвол все левые запросы такими правилами:

Код: Выделить всё

$IPFW add 5501 allow ip from PCip to DestIP
$IPFW add 5502 allow ip from DestIP to PCip 
$IPFW add 5503 deny ip from PCip to any 

Где PCip адрес компьютера, а DestIP адрес удаленного узла.

быть может стОит заменить ip на gre? (ну и убрать указание порта под номером 47)

На сколько я знаю IP это все протоколы вместе взятые, то есть IP это как-бы общее понятие, в которое входит и GRE, так что должно было работать и с таким правилом. А вот указание порта как раз отсеивает все запросы корме GRE.
Переадресация не заработала вообще в целом, так как если-бы не сработало только правило с GRE, то подключение провалилось-бы на проверке логина-пароля, но у меня не увидело даже сервер.