Помогите c rdr

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
BonDit
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-05-29 23:11:49
Откуда: Ульяновск
Контактная информация:

Помогите c rdr

Непрочитанное сообщение BonDit » 2009-02-13 20:39:02

Всем привет, у меня такая ситуевина. Имеется 2 шлюза на фряхе которые соединены между собой туннелем и обьеденены в локалку, оба имеют подключение к интернету и локалку за собой, примерно по такой схеме:

Код: Выделить всё

локалка1 - фря1 - фря2 - локалка2
          инет1 - инет2
Мне нужно пропустить людей из инет2 в локалка1, на фря2 прописываю в pf следующее :

Код: Выделить всё

rdr pass on $инет2_if proto { tcp, udp } from any to any port 8085 -> ip_из_локалка1 port 8085
Проблема в том что это правило не отрабатывается, вопрос в том как реализовать такой проброс портов.

Freebsd 7.1 релиз на обоих шлюзах.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: Помогите c rdr

Непрочитанное сообщение maradona » 2009-02-14 15:56:58

Чтобы пробросить порт на машину в локалку через шлюз, этот же шлюз должен быть шлюзом по умолчанию для машины куда идет проброс у Вас так?

Аватара пользователя
BonDit
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-05-29 23:11:49
Откуда: Ульяновск
Контактная информация:

Re: Помогите c rdr

Непрочитанное сообщение BonDit » 2009-02-14 16:03:58

В общем не получаеться сделать проброс из инет2 в локалка1. Пробросы из инет2 в локалка2 работают без проблем.
Локалка получается общая для всех.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите c rdr

Непрочитанное сообщение paradox » 2009-02-14 16:17:24

нарисуй рисунком а то я что то вообще не врублюсь в схему

Аватара пользователя
BonDit
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-05-29 23:11:49
Откуда: Ульяновск
Контактная информация:

Re: Помогите c rdr

Непрочитанное сообщение BonDit » 2009-02-14 17:51:10

Мне нужно пропустить юзверей из Инет2(конкретно из локалки провайдера 10.2.0.0/16) в свою локалку, которая находиться за другим шлюзом(192.168.2.10) к 192.168.2.4.
Вложения
Рисунок1.jpg

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите c rdr

Непрочитанное сообщение paradox » 2009-02-14 17:54:07

ну и зачем там редирет?
роутинг настройте на обоих шлюзах и все

Аватара пользователя
BonDit
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-05-29 23:11:49
Откуда: Ульяновск
Контактная информация:

Re: Помогите c rdr

Непрочитанное сообщение BonDit » 2009-02-14 18:10:17

эм, я просто не вкуриваю каким образом тут можно роутинг сделать, можно поподробней?

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите c rdr

Непрочитанное сообщение paradox » 2009-02-14 18:15:45

какой смысл делать какие то rdr каких то портов
если сдесь стандартная схема настройки роутинга между двумя сетями 2/24 3/24 через тунель

зы
ну вы блин даете

Аватара пользователя
BonDit
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-05-29 23:11:49
Откуда: Ульяновск
Контактная информация:

Re: Помогите c rdr

Непрочитанное сообщение BonDit » 2009-02-14 18:27:39

В общем то вопрос снят, все решилось таким путем:

Код: Выделить всё

nat on $внутр_инт_фря2 from any to 192.168.2.4 -> $внутренний_айпи_фря2


Подсказали на др форуме, вопрос теперь в другом. Внешние айпишки теперь маскируются под локалку, хотелось бы спросить каким образом можно обойти эту проблему?

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Помогите c rdr

Непрочитанное сообщение paradox » 2009-02-14 18:30:51

роутинг настройте
я вам уже выше сказал
никаких натов и редиректов там ненадо

jean
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-02-09 15:46:51

Re: Помогите c rdr

Непрочитанное сообщение jean » 2009-02-14 22:55:37

Тоннель на openvpn?
если да, то предполагаем сеть сервера openvpn:

Код: Выделить всё

192.168.2.0/24
предполагаем сетка клиента openvpn:

Код: Выделить всё

10.2.0.0/16
предполагаем ip openvpn сервера

Код: Выделить всё

10.0.0.1
предполагаем ip openvpn клиента

Код: Выделить всё

10.0.0.2
пишем 2 файла в одной директории с конфигом на сервере openvpn:
раз файл >>

Код: Выделить всё

 openvpn-up: 
route add -net 10.2.0.0/16 
два файл >>

Код: Выделить всё

openvpn-down:
route delete -net 10.2.0.0/16
пишем 2 файла в одной директории с конфигом на клиенте openvpn:
раз файл >>

Код: Выделить всё

 openvpn-up: 
route add -net 192.168.2.0/24
два файл >>

Код: Выделить всё

 openvpn-down:
route delete -net 192.168.2.0/24
Файл конфиг сервера openvpn:

Код: Выделить всё

dev tun3
proto udp
ifconfig 10.0.0.1 10.1.0.2
secret /usr/local/etc/openvpn/buratino
port 5000
user nobody
group nobody
auth MD5
cipher BF-CBC
keepalive 10 120
persist-key
persist-tun
log /var/log/openvpn_tun1.log
up /usr/local/etc/openvpn/openvpn-up
down /usr/local/etc/openvpn/openvpn-down

Файл конфиг клиента openvpn:
dev tun3
remote <ip сервера>
proto udp
ifconfig 10.0.0.2 10.1.0.1
secret /usr/local/etc/openvpn/buratino
port 5000
user nobody
group nobody
auth MD5
cipher BF-CBC
keepalive 10 120
persist-key
persist-tun
log /var/log/openvpn_tun1.log
up /usr/local/etc/openvpn/openvpn-up
down /usr/local/etc/openvpn/openvpn-down
Последний раз редактировалось zingel 2009-02-14 23:00:22, всего редактировалось 1 раз.
Причина: оформляйте как следует плз

jean
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-02-09 15:46:51

Re: Помогите c rdr

Непрочитанное сообщение jean » 2009-02-14 23:15:51

ок, в принципе было все понятно ;), на будущее буду иметь ввиду...

Аватара пользователя
BonDit
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-05-29 23:11:49
Откуда: Ульяновск
Контактная информация:

Re: Помогите c rdr

Непрочитанное сообщение BonDit » 2009-02-15 2:25:08

Не опен впн, маршруты раскиданы так же, в том и проблема то что я не вкурю как сейчас их нужно раскинуть((
Сильно не пинать, знания поверхностные, самому с этим работать не приходиться но знакомым помочь нужно.

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: Помогите c rdr

Непрочитанное сообщение maradona » 2009-02-15 23:46:23

а что мешает подключаться по впн к серверу 192.168.2.10 (он же к нету подключен) с выдачей адреса этой сети??, и что вы имеете ввиду когда пишете интернет 1, интернет 2, - интернет он везде один... не понятно..

Код: Выделить всё

если сдесь стандартная схема настройки роутинга между двумя сетями 2/24 3/24 через тунель
я например понял что доступ к 4-му адресу нужен с инета, а не с другой локалки..

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Помогите c rdr

Непрочитанное сообщение zingel » 2009-02-16 7:00:25

ospf ему ещё предложите, ага....

p.s. послушайте парадокса.....настройте роутинг
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
BonDit
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-05-29 23:11:49
Откуда: Ульяновск
Контактная информация:

Re: Помогите c rdr

Непрочитанное сообщение BonDit » 2009-02-17 18:35:12

maradona писал(а):а что мешает подключаться по впн к серверу 192.168.2.10 (он же к нету подключен) с выдачей адреса этой сети??, и что вы имеете ввиду когда пишете интернет 1, интернет 2, - интернет он везде один... не понятно..

Код: Выделить всё

если сдесь стандартная схема настройки роутинга между двумя сетями 2/24 3/24 через тунель
я например понял что доступ к 4-му адресу нужен с инета, а не с другой локалки..
Провайдеры разные)