Как протащить VPN через IPFW

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
modjo
рядовой
Сообщения: 26
Зарегистрирован: 2007-09-15 0:00:51
Контактная информация:

Как протащить VPN через IPFW

Непрочитанное сообщение modjo » 2008-05-12 14:53:28

Код: Выделить всё

/root/># uname -mrs
FreeBSD 6.2-RELEASE i386
Помогите разобраться каким образом можно разрешить хождение трафика VPN через IPFW. Все что знал перепробовал.

Задача такая. Есть сервер VPN (злоОС, pptp) в инете, я сижу за шлюзом (squid+nat (правила именно в этой последовательности)). Пытаюсь соединится с VPN сервером (я сижу на XP Pro) в логах IPFW след.:

Код: Выделить всё

May 12 14:20:23 gateway kernel: ipfw: 200 Deny P:47 195.96.хх.хх 192.168.0.103 in via fxp0
195 - VPN-сервер
192 - я

Добавляю правило (до squid):

Код: Выделить всё

$cmd 050 allow log gre from any to any
Пытаюсь соединится с VPN-сервером на стадии проверки пароля и логина в логах след.:

Код: Выделить всё

May 12 14:23:09 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:10 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0
May 12 14:23:11 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:13 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0
May 12 14:23:14 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:16 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0
May 12 14:23:18 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:19 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0
May 12 14:23:22 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:22 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0
85 - gateway

ЗлоОС выдает 619 ошибку. Правило для squid ловит только 80 порт. Natd открыт и пропускает весь остальной трафик. Провайдер никаких ограничений не ставит. VPN-сервер точно рабочий. Что еще нужно сделать? :(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Daywalker
ст. сержант
Сообщения: 326
Зарегистрирован: 2007-03-11 22:28:45
Откуда: г. Котельники, МО
Контактная информация:

Re: Как протащить VPN через IPFW

Непрочитанное сообщение Daywalker » 2008-05-12 17:01:07

Вроде еще надо разрешить TCP порт 1723
http://blog.volobuev.su - Блог о системном и сетевом администрировании.

Аватара пользователя
modjo
рядовой
Сообщения: 26
Зарегистрирован: 2007-09-15 0:00:51
Контактная информация:

Re: Как протащить VPN через IPFW

Непрочитанное сообщение modjo » 2008-05-12 17:20:14

Так ведь natd полностью открытый:

Код: Выделить всё

00065 divert 8668 ip from any to any in via fxp0
00066 skipto 500 udp from 192.168.0.0/24 to any out via fxp0 keep-state
00067 skipto 500 tcp from 192.168.0.0/24 to any out via fxp0 setup keep-state
00068 skipto 500 icmp from 192.168.0.0/24 to any out via fxp0
...
00500 divert 8668 ip from any to any out via fxp0
65535 allow ip from any to any
Просто смысла нет открывать отдельно порт. Но ради интереса. Добавил строчку:

Код: Выделить всё

$cmd 051 allow log tcp from any to any 1723 setup $ks
Теперь в логах про gre вообще нет упоминаний, т.е. до проверки пароля и логина не доходит:

Код: Выделить всё

May 12 18:13:37 gateway kernel: ipfw: 51 Accept TCP 192.168.0.103:1649 195.96.190.174:1723 out via fxp0
Вот и все. В первом же случае, он все-таки соединяется с сервером, но что-то не срабатывает.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как протащить VPN через IPFW

Непрочитанное сообщение paradox » 2008-05-12 17:57:54

для теста сделайте проще
nat через pf или ipnat
и весь фаервол allow all
если заработает
значит у вас что то накручено
если нет
значит где то дальше по трассе непроходит - скорее всего по mtu
в крайнем случае смотреть лог сервера pptp & pppd