Настройка бриджа ethernet+wlan

[Alex III ™]

Пишу первый раз может не тут, может ни так)) но надеюсь на помощь (на фре несколько месяцев - усиленно юзаю как могу! но не все получается... а системка то ой как хороша )
Дано: роутер под фрёй 7.2 интерфейс ale0 смотрит в мир через PPPoE (интернет есть все пучком) сетевуха rl0 смотрит в локалку (то есть подключен один комп всего то) и ral0 смотрит на ноутбук.
Хочу: (но немогу)))) чтобы комп допустим с адресом 192.168.1.1 и ноутбук с адресом 192.168.1.2 получали интернет и были в одной локальной сети а так же желательно видеть локалку провайдера.
Сделано: пересобрано ядро с параметром if_bridge, настроен сам бридж (но вот тут как то туго). IP выдает DHCP. к ноуту айпишник привязан по мак адресу. С роутера пингую ноут и комп с компа и ноута пингую роутер - нормально. НО! ноут не пингует комп и наоборот а так же нет интернета ни на ноуте ни на компе! Помогите пожалуйста. выкладываю конфиги которые трогал:

Код: Выделить всё

 route# ifconfig
ale0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=319b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MCAST,WOL_MAGIC>
        ether 00:23:54:4c:d1:ca
        inet 10.10.1.67 netmask 0xffffff00 broadcast 10.10.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:e0:43:90:01:9a
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ral0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 2290
        ether 00:17:9a:77:e4:f4
        media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
        status: associated
        ssid Homelan channel 1 (2412 Mhz 11g) bssid 00:17:9a:77:e4:f4
        authmode WPA1+WPA2/802.11i privacy MIXED deftxkey 2 TKIP 2:128-bit
        TKIP 3:128-bit txpower 50 scanvalid 60 bgscan bgscanintvl 300
        bgscanidle 250 roam:rssi11g 7 roam:rate11g 5 protmode CTS dtimperiod 1
fwe0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 02:1e:8c:98:6a:fc
        ch 1 dma -1
fwip0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        lladdr 0.1e.8c.0.1.98.6a.fc.a.2.ff.fe.0.0.0.0
pflog0: flags=0<> metric 0 mtu 33204
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x8
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 56:8c:73:c3:7e:4b
        inet 192.168.1.254 netmask 0xffffff00 broadcast 192.168.1.255
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: ral0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 3 priority 128 path cost 370370
        member: rl0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 2 priority 128 path cost 55
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        inet 91.210.149.153 --> 10.10.21.254 netmask 0xffffffff
        Opened by PID 651 

Код: Выделить всё

gateway_enable="YES"                                                                       
static_routes="net1 net2 net3"                                                             
route_net1="-net 10.10.0.0/24 10.10.1.252"                                                 
route_net2="-net 10.10.1.0/24 10.10.1.252"                                                 
route_net3="-net 10.10.254.0/24 10.10.1.252"                                               
defaultrouter="10.10.1.252"                                                                
ifconfig_ale0="inet 10.10.1.67  netmask 255.255.255.0"                                     
###############################################################################            
#Настройки моста                                                                           
ifconfig_rl0="up"                                                                          
ifconfig_ral0="mode 11g ssid Homelan mediaopt hostap up"                                   
cloned_interfaces="bridge0"                                                                
ifconfig_bridge0="inet 192.168.1.254 netmask 255.255.255.0 addm rl0 addm ral0 up"          
################################################################################           
#Фаервол                                                                                   
sshd_enable="YES"                                                                          
pf_enable="YES"                                                                            
pf_rules="/etc/pf.conf"
#pf_program="/sbin/pfctl"
#pf_flags=""
#pflog_enable="NO"
#pflog_logfile="/var/log/pf.log"
#pflog_program="/sbin/pflogd"
#pflog_flags=""
#pfsync_enable="NO"
#pfsync_syncdev=""
#pfsync_ifconfig=""
################################################################################
#Skyinet
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="skyinet"
#################################################################################
#Запуск сервера имен DNS
named_enable="YES"
named_program="/usr/sbin/named"
##################################################################################
# Запуск сервера DHCP
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="bridge0"
hostapd_enable="YES"
dhcpd_withuser="dhcpd"
dhcpd_withgroup="dhcpd"

Да забыл в качестве фаервола юзаю PF (посоветовал знакомый он мне и правила написал а то я в них туго соображаю)

Код: Выделить всё

# SKYINET              LAN
#    |      +---------------------+
#    |      |                     |
# +-ale0---rl0----------+  +--------------+  +----------------+
# |                     |  |  192.168.0.0 |  |     Wi-Fi      |
# +---------------ral0--+  +--------------+  +----------------+
#                   |                                 |
#                   +---------------------------------+
#

# Внешний и внутренний интерфейсы.
#
skyinet_if      = "tun0"
ext_if          = "ale0"
int_if          = "bridge0"

# Выполнить нормализацию всех пакетов.
#
scrub in

# Транслировать внутренние адреса в (основной) адрес внешнего интерфейса.
nat on $ext_if     from 192.168.1.0/24 -> ($ext_if:0)
nat on $skyinet_if from 192.168.1.0/24 -> ($skyinet_if:0)

# Защита от IP spoofing.
pass quick on { lo $int_if }
antispoof quick for { lo $int_if }

# По умолчанию блокировать все на внешнем интерфейсе. Для TCP соединений
# возвращать RST.
block on { $ext_if $skyinet_if }
block return-rst in on { $ext_if $skyinet_if } proto tcp

# Разрешить исходящие ICMP ping пакеты, любой UDP трафик и TCP соединения.
pass out on { $ext_if $skyinet_if } inet proto icmp icmp-type echoreq code 0 keep state
pass out on { $ext_if $skyinet_if } proto { tcp udp } flags S/SA keep state

# Разрешить входящие ICMP ping пакеты, обслуживаемые UDP и TCP сервисы.
pass in on $ext_if inet proto icmp icmp-type echoreq code 0 keep state
#pass in on $skyinet_if inet proto tcp from any to $skyinet_if:0 port 51413

Вот вроде все... Надеюсь на вашу помощь отцы )

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[---nebo---]

1. Выключаете фаер

Код: Выделить всё

#pfctl -d

На комне и ноуте я так полагаю шлюз по умолчанию 192.168.1.254
Покажите настройки компа и ноута.

2. Проверяем...
а)работает? - крутим фает
б)нет - едим дальше

P.S.
а как у вас что-то должно возвращаться?

Код: Выделить всё

block on { $ext_if $skyinet_if }
block return-rst in on { $ext_if $skyinet_if } proto tcp

pass in on $ext_if inet proto icmp icmp-type echoreq code 0 keep state

[Alex III ™]

какие настройки показать? DHCP раздает же. на ноуте все по умолчанию в винде второй комп под фрей ifconfig_rl0="DHCP" и дефолтроутер соответственно 192.168.1.254
1) Фаер выключал. Пингуется ноут с компом без проблем но инета нет все равно! да шлюз такой.
2) Куда чего я непонимаю )) мне лишь бы инет был и локалка пробрасывалась желательно конечно.

[---nebo---]

какие настройки показать?

Код: Выделить всё

#ifconfig

или

Код: Выделить всё

>ipconfig

че у вас там на клиентах

на ноуте все по умолчанию в винде второй комп под фрей ifconfig_rl0="DHCP" и дефолтроутер соответственно 192.168.1.254

казнить нельзя помиловать

в вашем случае топология изменилась на:
провайдер---[ale0]Ваша_Фря[bridge0]---локалка(ноут + комп)

и покажите еще
#netstat -nr

также поюзайте tcpdump и посмотрите, что происходит, когда клиенты ломятся в интернет

[Alex III ™]

Не не. Провайдер висит на ale0. Комп под фрёй и ноут на бридже роутера который получает инет от ale0 )
к сожелению после экспериментов с кэширующим dns сервером лишился инета вообще и показать ничего не могу - сижу под виндой как последний лошара...

[---nebo---]

будет проще разобраться в проблеме, если понимать к чему относятся коментарии:

Не не

Провайдер висит на ale0. Комп под фрёй и ноут на бридже роутера который получает инет от ale0 )

в предыдущем посте так и было изображено:

Код: Выделить всё

провайдер---[ale0]Ваша_Фря[bridge0]---локалка(ноут + комп)

[opt1k]

вот это

Код: Выделить всё

route_net1="-net 10.10.0.0/24 10.10.1.252"                                                 
route_net2="-net 10.10.1.0/24 10.10.1.252"                                                 
route_net3="-net 10.10.254.0/24 10.10.1.252"   

уберите
на компах пропишите шлюз 192.168.1.254 и всё должно работать.

[---nebo---]

вот это

Код: Выделить всё

route_net1="-net 10.10.0.0/24 10.10.1.252"                                                 
route_net2="-net 10.10.1.0/24 10.10.1.252"                                                 
route_net3="-net 10.10.254.0/24 10.10.1.252"   

уберите
на компах пропишите шлюз 192.168.1.254 и всё должно работать.

а на что это должно повлиять, ведь маршруты для этих 3-х сетей через 10.10.1.252 и defaultrouter="10.10.1.252". И так и так, в любом случае, все будет отправляться на 10.10.1.252.

[Alex III ™]

Спасибо всем откликнушившимся. Проблему решил: всему виной был named.conf который был криво настроен.
А чтобы пинговался ноут и комп в pf.conf посоветовали добавить эти строчки:

Код: Выделить всё

lan1_if         ="rl0"
lan2_if         ="ral0"

плюс изменить это правило:

Код: Выделить всё

pass quick on { lo $int_if $lan1_if $lan2_if }

[Alex III ™]

Теперь у меня такой вопрос: на ноутбуке не видится локалка провайдера! в чем может быть проблема ?

[opt1k]

вот это

Код: Выделить всё

route_net1="-net 10.10.0.0/24 10.10.1.252"                                                 
route_net2="-net 10.10.1.0/24 10.10.1.252"                                                 
route_net3="-net 10.10.254.0/24 10.10.1.252"   

уберите
на компах пропишите шлюз 192.168.1.254 и всё должно работать.

а на что это должно повлиять, ведь маршруты для этих 3-х сетей через 10.10.1.252 и defaultrouter="10.10.1.252". И так и так, в любом случае, все будет отправляться на 10.10.1.252.

а нафик лишнее плодить?
Что понимается под локалкой? С десктопа видно эту самую локалку?

[---nebo---]

на время настройки ВООБЩЕ выключите фаер, у вас должно быть

Код: Выделить всё

#pfctl -nr
#

в предыдущих сообщениях я просил показать настройки КЛИЕНТОВ(ноута + компа), если Windows

Код: Выделить всё

>ipconfig /all
>route print

если фря или линукс

Код: Выделить всё

#ifconfig -a
#netstat -nr

А чтобы пинговался ноут и комп в pf.conf посоветовали добавить эти строчки:

Код: Выделить всё

lan1_if         ="rl0"
lan2_if         ="ral0"

плюс изменить это правило:

Код: Выделить всё

pass quick on { lo $int_if $lan1_if $lan2_if }

после того, как вы интерфейсы объеденими в бридж, вы работаете уже с bridge0, а не rl0+ral0

[Alex III ™]

итак начну заново)) перенес все ето дело на полку на 333 пень - а то свой домашний двухядерный жалко)
Дано:Роутер

Код: Выделить всё

FreeBSD route.loc 7.2-STABLE FreeBSD 7.2-STABLE #0: Wed Nov 11 22:54:10 UTC 2009     root@srv.route.loc:/usr/obj/usr/src/sys/BRIDGE  i386

с интерфейсами:
rl0 (cмотрит в локалку провайдера и получает internet через PPPoE IP - 10.10.1.67),
rl1 (смотрит на мой домашний комп Windows7 IP - 192.168.1.1 - привязка IP по мак адресу)
ral0 (смотрит на мой домашний ноутбук Windows7 IP - 192.168.1.2 - привязка IP по мак адресу)
rl0 и ral0 работают бриджом.
На роутере крутится кэширующий днс сервер и mpd5 раздает инет товарищу в локалке провайдера 10.10.1.54.
С этим розобрались))) по крайней мере я... вот все мои конфиги
ifconfig

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 
        inet 10.10.1.67 netmask 0xffffff00 broadcast 10.10.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ral0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 
        media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
        status: associated
        ssid Homelan channel 1 (2412 Mhz 11g) bssid 00:17:9a:77:e4:f4
        authmode WPA1+WPA2/802.11i privacy MIXED deftxkey 2 TKIP 2:128-bit
        TKIP 3:128-bit txpower 50 scanvalid 60 bgscan bgscanintvl 300
        bgscanidle 250 roam:rssi11g 7 roam:rate11g 5 protmode CTS dtimperiod 1
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
pflog0: flags=0<> metric 0 mtu 33204
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether e6:e5:96:7e:97:93
        inet 192.168.1.254 netmask 0xffffff00 broadcast 192.168.1.255
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: ral0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 3 priority 128 path cost 370370
        member: rl1 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 2 priority 128 path cost 55
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        inet 91.210.148.181 --> 10.10.21.254 netmask 0xffffffff
        Opened by PID 501
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1218
        inet 10.10.1.67 --> 192.168.1.3 netmask 0xffffffff

rc.conf

Код: Выделить всё

route# cat /etc/rc.conf
allscreens_flags="MODE_258"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
hostname="route.loc"
ipv6_enable="YES"
keymap="ru.koi8-r"
keyrate="fast"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
############################################################################### 
#Настройки для Gateway                                                          
############################################################################### 
gateway_enable="YES"                                                            
static_routes="net1 net2 net3"                                                  
route_net1="-net 10.10.0.0/24 10.10.1.252"                                      
route_net2="-net 10.10.1.0/24 10.10.1.252"                                      
route_net3="-net 10.10.254.0/24 10.10.1.252"                                    
defaultrouter="10.10.1.252"                                                     
ifconfig_rl0="inet 10.10.1.67  netmask 255.255.255.0"                           
############################################################################### 
#Настройки моста                                                                
ifconfig_rl1="up"                                                               
ifconfig_ral0="mode 11g ssid Homelan mediaopt hostap up"                        
cloned_interfaces="bridge0"                                                     
ifconfig_bridge0="inet 192.168.1.254 netmask 255.255.255.0 addm rl1 addm ral0 up"
################################################################################
#Фаервол
sshd_enable="YES"
pf_enable="NO"
pf_rules="/etc/pf.conf"
#pf_program="/sbin/pfctl"
#pf_flags=""
#pflog_enable="NO"
#pflog_logfile="/var/log/pf.log"
#pflog_program="/sbin/pflogd"
#pflog_flags=""
#pfsync_enable="NO"
#pfsync_syncdev=""
#pfsync_ifconfig=""
################################################################################
#Skyinet
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="skyinet"
#################################################################################
#Запуск сервера имен DNS
named_enable="YES"
named_program="/usr/sbin/named"
##################################################################################
# Запуск сервера DHCP
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="bridge0"
hostapd_enable="YES"
dhcpd_withuser="dhcpd"
dhcpd_withgroup="dhcpd"
##################################################################################
# Запуск Transmission (Торрент)
#transmission_enable="YES"
#transmission_watch_dir="/mnt/ftp/transmission/upload"
#transmission_conf_dir="/mnt/ftp/transmission/config"
#transmission_user="transmission"
#transmission_download_dir="/mnt/ftp/transmission/downloads"
##################################################################################
# Запуск Network File System
#rpcbind_enable="YES"
#nfs_server_enable="YES"
#nfs_server_flags="-u -n 5"
#mountd_flags="-r"
#nfs_client_flags="-n 1"
################################################################################
mpd_enable="YES"

ядро:

Код: Выделить всё

hints   "GENERIC.hints"

cpu             I686_CPU
ident           BRIDGE

options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_MPPC_COMPRESSION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI

#Поддержка фаерволла PF
device           pf
device           pflog
device           pfsync
options          ALTQ
options          ALTQ_CBQ
options          ALTQ_RED
options          ALTQ_RIO
options          ALTQ_HFSC
options          ALTQ_PRIQ
options          ALTQ_NOPCC

#Настройки консоли
options          SC_PIXEL_MODE
options          SC_NORM_ATTR=(FG_GREEN|BG_BLACK)
options          SC_NORM_REV_ATTR=(FG_YELLOW|BG_GREEN)
options          SC_KERNEL_CONS_ATTR=(FG_YELLOW|BG_BLACK)
options          SC_KERNEL_CONS_REV_ATTR=(FG_BLACK|BG_RED)
options          VESA

options         SCHED_4BSD              # mandatory to have one scheduler
options         INET                    #InterNETworking
options         FFS                     #Berkeley Fast Filesystem
options         MD_ROOT                 #MD is a potential root device

options         COMPAT_43               #Compatible with BSD 4.3 [KEEP THIS!]

options         UFS_DIRHASH
options         NFSCLIENT
options         NFSSERVER


# Support for bridging and bandwidth limiting
device          if_bridge

device          random                  # used by ssh
device          pci

# ATA and ATAPI devices
device          ata
device          atadisk                 # ATA disk drives
options         ATA_STATIC_ID           #Static device numbering

# atkbdc0 controls both the keyboard and the PS/2 mouse
device          atkbdc                  # At keyboard controller
device          atkbd

device          vga                     # VGA screen

# syscons is the default console driver, resembling an SCO console
device          sc

# Serial (COM) ports
device          sio
#
# The following Ethernet NICs are all PCI devices.
#
device  miibus
device          rl              # RealTek 8129/8139
device          ed

device          loop            # Network loopback
device          ether           # Ethernet support
device          tun             # Packet tunnel.
device          pty             # Pseudo-ttys (telnet etc)
device          md              # Memory "disks"
device          tap

#options                DEVICE_POLLING

device          bpf             # Berkeley packet filter
# Wireless NIC cards
device          wlan            # 802.11 support
device          wlan_wep        # 802.11 WEP support
device          wlan_ccmp       # 802.11 CCMP support
device          wlan_tkip       # 802.11 TKIP support
device          wlan_amrr       # AMRR transmit rate control algorithm
device          wlan_scan_ap    # 802.11 AP mode scanning
device          wlan_scan_sta   # 802.11 STA mode scanning
options         AH_SUPPORT_AR5416       # enable AR5416 tx/rx descriptors
device          ral             # Ralink Technology RT2500 wireless NICs.

pf.conf

Код: Выделить всё

# Внешний и внутренний интерфейсы.
#
skyinet_if      ="tun0"
ext_if          ="rl0"
int_if          ="bridge0"
lan1_if         ="rl1"
lan2_if         ="ral0"
ilya            ="192.168.1.3"
#MPD
table <allowedip> persist file "/etc/vpnclients"
pass in quick on $ext_if proto tcp from <allowedip> to $ext_if:0 port pptp
pass out quick on $ext_if proto tcp from $ext_if:0 port pptp to <allowedip>
pass in quick on $ext_if inet proto gre from <allowedip> to $ext_if:0
pass out quick on $ext_if inet proto gre from $ext_if:0 to <allowedip>


scrub in all

nat on $ext_if     from 192.168.1.0/24 -> ($ext_if:0)
nat on $skyinet_if from 192.168.1.0/24 -> ($skyinet_if:0)

# Защита от IP spoofing.
pass quick on { lo $int_if $lan1_if $lan2_if }
antispoof quick for { lo $int_if }

# Поумолчанию блокировать все на внешнем интерфейсе. Для TCP соединений
# возвращать RST.
block on { $ext_if $skyinet_if }
block return-rst in on { $ext_if $skyinet_if } proto tcp

# Разрешить исходящие ICMP ping пакеты, любой UDP трафик и TCP соединения.
pass out on { $ext_if $skyinet_if } inet proto icmp icmp-type echoreq code 0 keep state
pass out on { $ext_if $skyinet_if } proto { tcp udp } flags S/SA keep state

# Разрешить входящие ICMP ping пакеты, обслуживаемые UDP и TCP сервисы.
pass in on $ext_if inet proto icmp icmp-type echoreq code 0 keep state
pass in quick on $skyinet_if proto { tcp, udp } from any to self port 1723
pass in quick on $skyinet_if proto { tcp, udp } from any to self port 6669

ipconfig Домашнего компа:

Код: Выделить всё

Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Alex-III>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : Alex-III-ПК
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : route.loc

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . : route.loc
   Описание. . . . . . . . . . . . . : Контроллер Atheros AR8121/AR8113/AR8114 P
CI-E Ethernet (NDIS6.20)
   Физический адрес. . . . . . . . . : 
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::dc02:5c0:469:da89%11(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.1(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 13 ноября 2009 г. 19:00:00
   Срок аренды истекает. . . . . . . . . . : 13 ноября 2009 г. 21:02:49
   Основной шлюз. . . . . . . . . : 192.168.1.254
   DHCP-сервер. . . . . . . . . . . : 192.168.1.254
   IAID DHCPv6 . . . . . . . . . . . : 234890068
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-12-7E-57-CA-00-23-54-4C-D1-CA

   DNS-серверы. . . . . . . . . . . : 192.168.1.254
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.route.loc:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . : route.loc
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv6-адрес. . . . . . . . . . . . : 2001:0:4137:9e50:2c6e:1543:a42d:6b4a(Осно
вной)
   Локальный IPv6-адрес канала . . . : fe80::2c6e:1543:a42d:6b4a%12(Основной)
   Основной шлюз. . . . . . . . . : ::
   NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер Reusable Microsoft 6To4 Adapter:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4 #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер 6TO4 Adapter:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

C:\Users\Alex-III>

ipconfig ноутбука сильно не отличается...
Итак выключен PF интернет раздается всюду- всё пучком ) включен PF - ничего нифига не работает за исключением инета на компе.(
В локалке провайдера есть сайт, форум, сервак контры, чат, и LDC . Мне очень хочется чтобы всё это работало и на компе и на ноутбуке! Реально ли это?
ну и если кто поможет с правилами PF - вышлю пиво ей богу )
то что советовали прописать на компах с виндой 192.168.1.254 не помогло никак... на всякий случай аська 343744199 ( для добрых людей желающих помочь что в наше время редкость)))

[---nebo---]

в вашем случае вы не дали вывод очень важной вещи, а именно

Код: Выделить всё

#netstat -nr

PF выключен.
вы подключаетесь к вышестоящему провайдеру с помощью VPN. У вас создается интерфейс tun0. Вместе с этим подключением вы получаете пути в локальные сети и у вас меняется defaultgateway. Он будет уже не тот, который вы указали в /etc/rc.conf, вы получители его от провайдера. У вас при подключении создается туннель с VPN сервером провайдера. Изменение шлюза по умолчанию должно быть видно при выводе вышетребуемой команды.

Тогда к вашему серверу оказываются подключены 3 хоста(или будет больше, не важно): комп(.1), ноут(.2), ваш клиент(.3).
Если они хотят запросиль локальный ресурс, то направляются на 10.10.1.252 через rl0.
Если они хотят запросить другой ресурс, то направляются на шлюз по умолчанию, а он у вас уже 91.210.ххх.ххх(дета так ) через tun0.

Нат на tun0 производится автоматически, тоесть интернет у всех есть.
На rl0 пока ничего не натится, и если я не ошибаюсь локалку вы не видите с клиентов?

Поетому, что касается НАТа, натить вам нужно только на интерфейсе rl0 от ваших клиентов и только в локальные сети.
А у вас:

Код: Выделить всё

nat on $ext_if     from 192.168.1.0/24 -> ($ext_if:0)
nat on $skyinet_if from 192.168.1.0/24 -> ($skyinet_if:0)

ну во-первых дважды натите одно и тоже(192.168.1.0/24), во-вторых до второго правила дело никогда не дойдет.

От вашего клиента, который подключается по VPN, пакеты после подключения будут приходить не через rl0, а уже через созданный туннель на интерфейс ng0.

Все это к тому, что ваши правила фаервола практически не подходят под даную ситуацию.

Дальше, фильтрующие правила обрабатывают после правил НАТ,

Код: Выделить всё

http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html

, это я к тому, что
у вас вс клиенты 192.168.1.0/24 и они же в /etc/vpnclients (я так полагаю, вы не далы вывод), поетому

Код: Выделить всё

nat on $ext_if     from 192.168.1.0/24 -> ($ext_if:0)
nat on $skyinet_if from 192.168.1.0/24 -> ($skyinet_if:0)

pass in quick on $ext_if proto tcp from <allowedip> to $ext_if:0 port pptp
pass out quick on $ext_if proto tcp from $ext_if:0 port pptp to <allowedip>
pass in quick on $ext_if inet proto gre from <allowedip> to $ext_if:0
pass out quick on $ext_if inet proto gre from $ext_if:0 to <allowedip>

после таких правил ната, все ваши 192.168.1.0 превратятся в 10.10.1.67 и вот эти 4 фильтрующих правила никогда не увидят адреса из <allowedip>.

И т.д.

Поетому, чем разбираться что в ваших правилах фаера(можно, но предварительный анализ показал, что из простого сделали очень сложное ), проще очень четко и по технически описать что нужно на интерфейсах, и что фильтровать(короче политику), и взять да один раз нормально написать конфиг фаера.


P.S. еще такой вопрос, ноут пингует комп? а наоборот?
если нет, то все-таки покрутите свой бридж, ибо это самое простое из того что есть и именно из-за этого, я так думаю, иногда есть интернет на компе, а нету на ноуте.
Если пинга нету, то в таком "неработающем" состоянии не поленитесь и сделайте вывод(на обох):

Код: Выделить всё

>ipconfig /all
>route print

...результаты пишите максимально структурировано, а то инфы много и замахаемся разгребаться

[Alex III ™]

Одну проблему решил между ноутом и компом есть связь! УРА!!! Со включеным PF даже. Спасибо Павлу из Волгограда за то что написал правила )
pf.conf теперь такой

Код: Выделить всё

ext_if="rl0"        # локалка провайдера
int_if="bridge0"    # локалка домашняя
sky_if="tun0"        # интернет

non_route_nets_inet="{ 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 127.0.0.0/8, 0.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 204.152.64.0/23, 224.0.0.0/3 }"icmp_types="{ echoreq, unreach }"

vpn_allow="{ 10.10.1.54 10.10.6.155 }"

set block-policy return
set skip on { lo0, $int_if }
set timeout { frag 10, tcp.established 3600 }

scrub in all

nat on $ext_if from $int_if to any -> ($ext_if)
nat on $sky_if from $int_if to any -> ($ext_if)

block in
pass out keep state

# расширенный антиспуфинг
antispoof quick for { lo0, $int_if }
block drop in quick on $sky_if from $non_route_nets_inet to any
block drop in quick on $int_if from !$int_if:network to any

# разрешаем устанавливать vpn-соединение с определенных хостов
pass in on $ext_if inet proto tcp from $vpn_allow to $ext_if port pptp flags S/SA keep state

# разрешаем некоторый ICMP  трафик
pass in inet proto icmp all icmp-type $icmp_types keep state

pass in quick on $int_if

route print :

Код: Выделить всё

Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Alex-III>route print
===========================================================================
Список интерфейсов
 11...00 23 54 4c d1 ca ......Контроллер Atheros AR8121/AR8113/AR8114 PCI-E Ethe
rnet (NDIS6.20)
  1...........................Software Loopback Interface 1
 14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 16...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4 #2
 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.1.254      192.168.1.1     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link       192.168.1.1    276
      192.168.1.1  255.255.255.255         On-link       192.168.1.1    276
    192.168.1.255  255.255.255.255         On-link       192.168.1.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.1    276
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
 12     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 12     58 2001::/32                On-link
 12    306 2001:0:d5c7:a2d6:3422:485:a42d:6b98/128
                                    On-link
 11    276 fe80::/64                On-link
 12    306 fe80::/64                On-link
 12    306 fe80::3422:485:a42d:6b98/128
                                    On-link
 11    276 fe80::dc02:5c0:469:da89/128
                                    On-link
  1    306 ff00::/8                 On-link
 12    306 ff00::/8                 On-link
 11    276 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Вот теперь осталось локальные сервисы провайдера увидеть.

[reLax]

Код: Выделить всё

# tcpdump -netttvvvi pflog0 host 10.10.1.67 

в студию. У тебя там будет пусто, советую поставить на каждом pass/deny "log"

[---nebo---]

Вот теперь осталось локальные сервисы провайдера увидеть.

...короче читайте внимательно мое предыдущее сообщение

[Alex III ™]

Когда я жил на винде и подключался сразу к провайдеру я прописывал маршрут route add 10.10.0.0 mask 255.255.0.0 10.10.1.252 metric 1 -p
Сейчас на роутере я прописал

Код: Выделить всё

static_routes="net1 net2 net3"
route_net1="-net 10.10.0.0/16 10.10.1.252"

что же теперь я должен писать в винде ? во внутренней сети ?

[---nebo---]

очень бы помогло, если бы все-таки показали

Код: Выделить всё

#netstat -nr

ДО того, как поключаетесь по VPN к провайдеру и ПОСЛЕ.
Интернета нету потому(и другие проблемы сети), что пакеты куда-то нитуда заворачиваются или их что-то блочит. Так вот, как вам помочь?, если не понятно что и куда заворачивается...Нужны маршруты.

[---nebo---]

также есть возможность проводить фильтрацию не на созданом бриджовом интерфейсе, а на тех, которые в него входят и наоборот:

Код: Выделить всё

#Для фильтрации пакетов на интерфейсах
net.link.bridge.pfil_member=1
#Для фильтрации пакетов на созданнном интерфейсе bridge0 (1- вкл. 0 - выкл.)
net.link.bridge.pfil_bridge=0

Покажите тогда еще:

Код: Выделить всё

#sysctl -a | grep net.link.bridge

[Alex III ™]

короче сдох жесткий диск на котором все это настраивалось... чуть грустно но да ладно.
Локалку провадера я прокинул себе правилом

Код: Выделить всё

nat on rl0 from 192.168.1.0/24 to any -> 10.10.1.67

прописал в винде его днс сервер и все заработало. Зато сдох инет на ноуте...
Короче я так понял или бридж говно или DLink DWL510 или и то и другое ))
Вопрос такого плана: как имея в наличии вышеперечисленные девайсы обойтись без бриджа?
С условием что бы комп и ноут были в своей 192.168.1.0/24 сети (допустим захотел я посмотреть фильм на ноуте запустив его с компа и т.д) и на них был интернет и локалка провайдера...
Можно например чтобы фря выступала в роли свича rl1 192.168.1.1, ral0 192.168.1.2 ? или как нибудь я хз ничего в голову не приходит.

[---nebo---]

Вопрос такого плана: как имея в наличии вышеперечисленные девайсы обойтись без бриджа?
С условием что бы комп и ноут были в своей 192.168.1.0/24 сети (допустим захотел я посмотреть фильм на ноуте запустив его с компа и т.д) и на них был интернет и локалка провайдера...
Можно например чтобы фря выступала в роли свича rl1 192.168.1.1, ral0 192.168.1.2 ? или как нибудь я хз ничего в голову не приходит.

два интерфейса в одной подсети быть не могут. Ну так и сделайте ноут и комп в разных подсетях(192.168.1.0/24 и 192.168.2.0/24), шлюзом на них пропишите фрю, а она просто будет маршрутизировать пакеты из одной подсети в другую.

[Alex III ™]

Хм интересно... Спасибо. а тогда ral0 всеравно настраивать точкой доступа ? или можно както попроще ?

[---nebo---]

Хм интересно... Спасибо. а тогда ral0 всеравно настраивать точкой доступа ? или можно както попроще ?

настраивайте интерфейс точкой доступа, вы ведь хотите что-бы именно ноут конектился к серверу. Проще уже некуда

[Alex III ™]

Не отстану от вас !)))
А если я прикуплю еще файфайку для компа , беспроводная локалка получится ? и будет ли лучше или хуже ... )))