Пользователь из сети, не может подключиться к vpn

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
maluy
ефрейтор
Сообщения: 58
Зарегистрирован: 2007-04-19 23:59:13
Откуда: Украина
Контактная информация:

Пользователь из сети, не может подключиться к vpn

Непрочитанное сообщение maluy » 2007-07-05 14:28:04

Мне нужно, чтобы один из пользователей из моей локальной сети, мог подключиться по vpn-не в другую сеть. Не могу понять, что нужно открыть на фаяри :?

Код: Выделить всё

#!/bin/sh


FwCMD="/sbin/ipfw" 
LanOut="tun0"         
LanIn="em0"
LanDmz="em1"
IpOut="213.130.28.250"
IpIn_0="192.168.0.3"
IpIn_1="192.168.1.3"
IpIn_2="192.168.2.3"
IpIn_3="192.168.3.3"
IpIn_4="192.168.4.3"
IpIn_5="192.168.5.3"
IpIn_6="192.168.6.3"
IpIn_7="192.168.7.3"
IpIn_8="192.168.8.3"
IpIn_9="192.168.9.3"
IpIn_10="192.168.10.3"
IpIn_100="192.168.100.3"

NetMask_0="24"
NetMask_0="24"
NetMask_1="24"
NetMask_2="24"
NetMask_3="24"
NetMask_4="24"
NetMask_5="24"
NetMask_6="24"
NetMask_7="24"
NetMask_8="24"
NetMask_9="24"
NetMask_10="24"
NetMask_100="24"

NetIn_0="192.168.0.0" 
NetIn_1="192.168.1.0"
NetIn_2="192.168.2.0"
NetIn_2="192.168.2.0"
NetIn_3="192.168.3.0"
NetIn_4="192.168.4.0"
NetIn_5="192.168.5.0"
NetIn_6="192.168.6.0"
NetIn_7="192.168.7.0"
NetIn_8="192.168.8.0"
NetIn_9="192.168.9.0"
NetIn_10="192.168.10.0"
NetIn_100="192.168.100.0"
ALL="192.168.0.0/16"

${FwCMD} -f flush

${FwCMD} add check-state

${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}

${FwCMD} add allow tcp from 192.168.1.132 to any via em0 dst-port 25
${FwCMD} add deny tcp from 192.168.0.0/16 to any via em0 dst-port 25

${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}

${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}

${FwCMD} add deny icmp from any to any frag

${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

${FwCMD} add reject log tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
${FwCMD} add reject log tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
${FwCMD} add reject log tcp from any to any not established tcpflags fin
${FwCMD} add reject log ip from any to any not verrevpath in

${FwCMD} add reject log tcp from any to any 445,139 via ${LanOut}
${FwCMD} add reject log udp from any to any 137,138 via ${LanOut}
${FwCMD} add reject log tcp from any 445,139 to any via ${LanOut}
${FwCMD} add reject log udp from any 137,138 to any via ${LanOut}

${FwCMD} add deny ip from ${IpIn_100}/${NetMask_100} to any via ${LanOut}

${FwCMD} add divert natd ip from ${NetIn_0}/${NetMask_0} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_1}/${NetMask_1} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_2}/${NetMask_2} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_3}/${NetMask_3} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_4}/${NetMask_4} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_5}/${NetMask_5} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_6}/${NetMask_6} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_7}/${NetMask_7} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_8}/${NetMask_8} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_9}/${NetMask_9} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_10}/${NetMask_10} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn_100}/${NetMask_100} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

${FwCMD} add allow tcp from any to any established

${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

${FwCMD} add allow udp from any 53 to any via ${LanOut}

${FwCMD} add allow ip from 217.65.240.12 to 213.130.28.250

${FwCMD} add allow udp from any to any 53 via ${LanOut}

${FwCMD} add allow udp from any to any 123 via ${LanOut}

${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}

${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}

${FwCMD} add allow icmp from any to any icmptypes 0,8,11

# VPN --- MPD
${FwCMD} add allow gre from any to me
${FwCMD} add allow tcp from any to me dst-port 1723
${FwCMD} add allow gre from me to any
${FwCMD} add allow tcp from me 1723 to any

${FwCMD} add allow tcp from any to any via ${LanIn}

${FwCMD} add allow udp from any to any via ${LanIn}

${FwCMD} add allow icmp from any to any via ${LanIn}

${FwCMD} add deny ip from any to any
Вот ище

# tcpdump -i em0 -n -nn -ttt dst host 192.168.4.62

Код: Выделить всё

057869 IP 194.44.55.148.1723 > 192.168.4.62.1739: P 1:157(156) ack 157 win 57600: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) [|pptp]
047044 IP 194.44.55.148.1723 > 192.168.4.62.1739: P 157:189(32) ack 325 win 57600: pptp CTRL_MSGTYPE=OCRP CALL_ID(896) [|pptp]
135215 IP 194.44.55.148.1723 > 192.168.4.62.1739: . ack 349 win 57600
1. 468228 IP 212.86.226.5.26352 > 192.168.4.62.1705: P 535:556(21) ack 861 win 65156
488945 IP 205.188.7.185.5190 > 192.168.4.62.1046: . ack 145 win 16384
4. 163523 IP 205.188.7.185.5190 > 192.168.4.62.1046: . ack 351 win 16384
000219 IP 205.188.7.185.5190 > 192.168.4.62.1046: P 492:528(36) ack 351 win 16384
291434 IP 205.188.7.185.5190 > 192.168.4.62.1046: P 528:670(142) ack 351 win 16384
342722 IP 205.188.7.185.5190 > 192.168.4.62.1046: . ack 389 win 16384
502464 IP 205.188.7.185.5190 > 192.168.4.62.1046: P 670:799(129) ack 389 win 16384
2. 352586 IP 212.86.226.5.26352 > 192.168.4.62.1705: P 556:560(4) ack 943 win 65074
6. 605463 IP 194.44.55.148.1723 > 192.168.4.62.1739: F 189:189(0) ack 349 win 57600
037406 IP 194.44.55.148.1723 > 192.168.4.62.1739: . ack 350 win 57600
9. 337335 IP 195.246.217.1.1723 > 192.168.4.62.1740: S 1533701374:1533701374(0) ack 481183650 win 65535 <mss 1440,sackOK,eol>
045850 IP 195.246.217.1.1723 > 192.168.4.62.1740: P 1:157(156) ack 157 win 65535: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) [|pptp]
426729 IP 195.246.217.1.1723 > 192.168.4.62.1740: P 1:157(156) ack 157 win 65535: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) [|pptp]
1. 962573 IP 195.246.217.1.1723 > 192.168.4.62.1740: P 157:189(32) ack 325 win 65535: pptp CTRL_MSGTYPE=OCRP CALL_ID(64213) [|pptp]
139452 IP 195.246.217.1.1723 > 192.168.4.62.1740: . ack 349 win 65535
630460 IP 192.168.3.102.1679 > 192.168.4.62.139: . ack 2757888679 win 32698
000039 IP 192.168.3.102.1679 > 192.168.4.62.139: . ack 1 win 32698
365952 IP 205.188.7.185.5190 > 192.168.4.62.1046: . ack 395 win 16384
000182 IP 64.12.29.76.5190 > 192.168.4.62.1730: . ack 7 win 16384
4. 047933 IP 207.46.193.254.80 > 192.168.4.62.1741: S 611785948:611785948(0) ack 4204671523 win 8190 <mss 1440>
178162 IP 65.207.183.49.80 > 192.168.4.62.1719: P 1630:1821(191) ack 295 win 8190
001277 IP 65.207.183.49.80 > 192.168.4.62.1719: P 190:1630(1440) ack 295 win 8190
043538 IP 207.46.193.254.80 > 192.168.4.62.1741: F 1:1(0) ack 2 win 8190
1. 918817 IP 205.188.7.185.5190 > 192.168.4.62.1046: P 799:1042(243) ack 395 win 16384
6. 294791 IP 212.86.226.5.26352 > 192.168.4.62.1705: . ack 1045 win 64972
045734 IP 212.86.226.5.26352 > 192.168.4.62.1705: P 560:579(19) ack 1045 win 64972
6. 295036 IP 205.188.7.185.5190 > 192.168.4.62.1046: . ack 433 win 16384

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35068
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-07-09 22:44:26

гре от эни ту ани
Убей их всех! Бог потом рассортирует...

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Re:

Непрочитанное сообщение OSBoy » 2007-08-13 18:28:01

lissyara писал(а):гре от эни ту ани
Хм, а у меня гре разрешён только фром юзерс ту ми, и всё пашет! :)