pf nat

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

pf nat

Непрочитанное сообщение nedt » 2010-04-19 10:46:57

Есть 2 роутера на freebsd 6.3, между ними поднят vpn через mpd4, как пронатить сетки которые за роутерами через pf ? Марочился 2 дня что-то ничего не вышло. Через natd работает, но хочется всетаки через pf.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-19 11:24:35

http://www.hub.ru/forum/index.php?showtopic=30975 вот именно такой вопрос, все точно как на рисунке.

Аватара пользователя
24rus
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-09-27 16:04:59
Откуда: Красноярск
Контактная информация:

Re: pf nat

Непрочитанное сообщение 24rus » 2010-04-20 4:24:26

А конфиг PF покажи ...
Show must go on !

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: pf nat

Непрочитанное сообщение BlackCat » 2010-04-20 12:30:15

Офтоповский вопрос: а оно (два NAT'а во внутренней сети) вам надо, может обойтись простой маршрутизацией и правильно выдать адреса?!!

Если религия требует замороченных решений, то вот список задач:
  • узлы в сети должны отправлять пакеты для удаленной сети роутеру в своей сети;
  • каждый роутер имеет маршрут до удаленной сети через другой маршрутизатор;
  • на маршрутизаторе сети A на внутреннем интерфейсе (смотрит в локальную сеть) поднимается NAT для пакетов идущих из сети B в сеть A;
  • на маршрутизаторе сети B на внутреннем интерфейсе поднимается NAT для пакетов идущих из сети A в сеть B;
  • ещё раз подумать зачем оно вам.
Первая задача решается одним из двух способов:
  • ваши роутеры должны быть дефолтными для своих сетей;
  • на клиентах должны быть маршруты до удаленной сети через свой роутер.
Но скорее всего ваши роутеры уже стоят дефолтными для своих подсетей.

Решение остальных - рутина (две записи в таблице маршрутизации и по правилу в pf.conf каждого маршрутизатора) и немного удачи.

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-21 18:19:58

Да надо мне это, т к все на pf работать должно. Я делал 2 ната например для провайдерской локалки и для инета одновременно.

192.168.3.0/24 -----------------10.23.1.1-------------------10.23.1.10-------------192.168.2.0/24
ng2 ng3
route add 192.168.2.0/24 10.23.1.10 route add 192.168.3.0/24 10.23.1.1

вот дальше не знаю через что натить?

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: pf nat

Непрочитанное сообщение BlackCat » 2010-04-21 19:57:07

Поправьте меня, если я не прав: вам надо связать две сети через туннель?
=====
Снова немного офтопа.
nedt писал(а):Да надо мне это, т к все на pf работать должно.
Вынужден с вами не согласиться, всё должно работать через pf - это решение задачи об организации NAT, но не причина возникновения такой задачи.
nedt писал(а):Я делал 2 ната например для провайдерской локалки и для инета одновременно.
В этом случае применение трансляции адресов (отправка пакетов от своего имени) оправданно, т.к. вы не можете управлять маршутизацией во внешней сети и просто подстраиваетесь под неё. В вашем примере, на сколько я мог понять, вы отвечаете за обе сети и возможно объеденить сети просто настроив маршрутизацию (ваша схема будет работать из без NAT'ов). За сим офтоп прекращаю, вам виднее как настраивать ввереную вам сеть.
=====
Немного доработал схему, добавив внутренние интерфейсы шлюзов.

Код: Выделить всё

             Ethernet                               Tunnel                                Ethernet
                 V                                     V                                      V
192.168.3.0/24------192.168.3.x(rl0)(ng2)10.23.1.1---------10.23.1.10(ng3)(vr0)192.168.2.y-------192.168.2.0/24
                                 Routes:                              Routes:
                             192.168.2.0/24                       192.168.3.0/24
                             via 10.23.1.10                       via 10.23.1.1
nedt писал(а):вот дальше не знаю через что натить?
Для трафика из 192.168.3.0/24 в 192.168.2.0/24 включается NAT на интерфейсе 192.168.2.y. Это для того, что бы скрыть от узлов из 192.168.2.0/24 ещё и наличие туннеля.
Аналогично для трафика из 192.168.2.0/24 в 192.168.3.0/24 - NAT на интерфейсе 192.168.3.x.

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: pf nat

Непрочитанное сообщение BlackCat » 2010-04-21 20:04:40

Или вам нужет NAT для выхода в Интернет из каждой сети через свой шлюз и я тут зря распинаюсь?

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-21 20:30:36

Нет мне нужен нат для инета каждой подсети и между ними . Вот например ipfw можно заставить натить все и куда угодно с pf чтото возникли траблы.
nat from 192.168.3.0/24 to any -> ng3
я вот так пробовал почемуто не натит .

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: pf nat

Непрочитанное сообщение BlackCat » 2010-04-21 21:00:50

nedt писал(а):Нет мне нужен нат для инета каждой подсети и между ними.
Ага, теперь немного понятнее, а то понимаю, что что-то не понимаю, а что именно - не понимаю. Вот такой вот каламбур.
=====
У вас конкретная задача "как поднять nat на интерфейсе таком-то" или нет определенности, что вообще делать что бы разрулить трафик?

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-21 21:12:58

нет задача у меня именно такая как обычный нат когда делаешь, но только вот так nat from 192.168.3.0/24 to 192.168.2.0.24 -> ng3. Только по идее должно работать и так, но не работает почемуто. я пробовал натить даже локалку другого провайдера через такой нат работало, а так не работает.

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-21 21:14:29

почемуто traceroute 192.168.2.1 уходит через локальный ип провайдера.

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-21 21:16:51

Есть на самом деле две тачки на фре сейчас прямо, могу попробовать в реальном времени сделать все и показать конфиги и трассировки .

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-21 21:23:33

могу по асе если ты в личку напишешь

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: pf nat

Непрочитанное сообщение BlackCat » 2010-04-21 21:25:32

nedt писал(а):почемуто traceroute 192.168.2.1 уходит через локальный ип провайдера.
Список интерфейсов с IP-адресами и таблицу маршрутизации в студию ;-) можно еще и pf.conf.
=====
ipwf включен или только pf?
=====
nedt писал(а):могу по асе если ты в личку напишешь
В аське быстрее, а так на форуме останется, может кому-то еще пригодится.

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-21 21:30:07

включен но через него ничего кроме фаера по ипам

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: pf nat

Непрочитанное сообщение BlackCat » 2010-04-21 21:54:47

А где конфиг?

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-21 22:02:13

192.168.2 10.23.1.1 UGS 0 26 ng3
192.168.3 link#2 UC 0 0 rl0

no nat inet from 192.168.3.0/24 to 192.168.3.0/24
nat inet from 192.168.3.0/24 to 192.168.2.0/24 -> 10.23.1.1


192.168.3 10.23.1.10 UGS 0 8 ng1
nat inet from 192.168.2.0/24 to 192.168.3.0/24 -> 10.23.1.1

nedt
рядовой
Сообщения: 12
Зарегистрирован: 2010-04-19 10:29:51

Re: pf nat

Непрочитанное сообщение nedt » 2010-04-21 22:07:50

nat inet from 192.168.3.0/24 to 192.168.2.0/24 -> 10.23.1.10

traceroute to 192.168.2.11 (192.168.2.11), 64 hops max, 40 byte packets
1 10.23.1.1 (10.23.1.1) 3.654 ms 3.791 ms 3.065 ms
2 * * *
3 * *^C