Проблеммы с настройкой ipfw + nat + vpn-подключение

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
unix11
рядовой
Сообщения: 27
Зарегистрирован: 2010-02-09 11:07:57
Откуда: Нижний Тагил

Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение unix11 » 2010-02-09 11:37:26

Здравствуйте.
У меня возникла проблема с настройкой доступа из локальной сети к удавленному офису через подключение vpn.[/b]
Система
FreeBSD 7.0 i386
Опции ябра

Код: Выделить всё

options         IPFIREWALL            
options         IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE      
options         DUMMYNET                
options    IPFIREWALL_VERBOSE_LIMIT=10  
options         IPDIVERT 
options    DEVICE_POLLING
options    IPFIREWALL_NAT
options    LIBALIAS
options    NETGRAPH
options    NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
Связь с удаленном офис установливает шлюз по средствам mpd5
Интерфейсы

Код: Выделить всё

ng0 flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
	inet 192.168.3.1 --> 192.168.2.1 netmask 0xffffffff
Интернет: rl0: 1.1.1.1
Локальная сеть: rl1: 10.30.3.1/24
/etc/rc.conf

Код: Выделить всё

defaultrouter="2.2.2.2"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/root/firewall/test.sh"
natd_enable="YES"
natd_interface="rl0"
mpd_enable=YES
dummynet_enable="YES"
Параметры ipfw

Код: Выделить всё

00004       66        3744 allow ip from 192.168.0.0/16 to any
00005    18669     7011718 allow ip from any to 192.168.0.0/16
00010       98       22642 allow ip from me to me
00020    19426     1542405 allow gre from any to any
00030 23713923 11869920403 divert 8668 ip from any to any via vr0
00036      704       58704 allow ip from 10.30.3.0/24 to 10.30.0.0/24
00045        0           0 allow ip from 10.30.0.0/24 to any
00046      736       61824 allow ip from any to 10.30.0.0/24
00050        1          64 allow ip from 192.168.0.0/16 to any
00051     5035      595520 allow ip from any to 192.168.0.0/16
00140 13232916   795211544 allow ip from 10.30.3.0/24 to any
00240 29820150 23762179612 allow ip from any to 10.30.3.0/24
00640 11063128   667082140 allow ip from any to any
65535      132       13301 deny ip from any to any
Последний раз редактировалось unix11 2010-02-09 12:55:55, всего редактировалось 2 раза.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

aspera
рядовой
Сообщения: 12
Зарегистрирован: 2009-11-29 23:56:22
Откуда: Москва
Контактная информация:

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение aspera » 2010-02-09 11:41:16

А в чем проблема то?

И что это такое?
ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string
Добрым словом и пистолетом можно добиться гораздо большего, нежели просто добрым словом! (Аль Капоне, 1933г.)

unix11
рядовой
Сообщения: 27
Зарегистрирован: 2010-02-09 11:07:57
Откуда: Нижний Тагил

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение unix11 » 2010-02-09 12:52:49

Нет доступа из локальной сети к сети ужаленного офиса, подключённого через канал VPN.
При том, что с шлюза, хост в удаленной сети 10.30.0.10 пингуется.

aspera
рядовой
Сообщения: 12
Зарегистрирован: 2009-11-29 23:56:22
Откуда: Москва
Контактная информация:

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение aspera » 2010-02-09 14:50:01

А если попробывать вот это правило "allow ip from 10.30.3.0/24 to 10.30.0.0/24" написать в обратном направлении?
Да и еще что за vpn сервер? Попробуйте добавить на шлюзе статический маршрут до сети назначения
Последний раз редактировалось aspera 2010-02-09 14:53:40, всего редактировалось 1 раз.
Добрым словом и пистолетом можно добиться гораздо большего, нежели просто добрым словом! (Аль Капоне, 1933г.)

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение schizoid » 2010-02-09 14:50:44

а вы выдавайте при подключении ИПы из той же сети, тогда все будет ок.
ну или маршруты тогда рисуйте на компах.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

unix11
рядовой
Сообщения: 27
Зарегистрирован: 2010-02-09 11:07:57
Откуда: Нижний Тагил

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение unix11 » 2010-02-09 15:12:33

1. allow ip from 10.30.3.0/24 to 10.30.0.0/24
Добавлял, толку ноль.
Более того писал так ipfw add allow all from any to any via ng0 - толку ноль
2. VPN по протоколу PPTP, сервера на обратной стороне MPD5
3. Статические маршруты естественно прописывал на шлюзе:
route add 10.30.0.0/24 192.168.2.1
route add 192.168.1.1/32 192.168.2.1
В итоге - нет связи с локального ПК ни с одгим из этих хостов, хотя ип который мне выдает впн сервер при подключении - 192.168.3.X мне с локального хоста доступен. С самого шлюза - связь присутсвует.
Пробовал добавить в ядро "options ROUTETABLES=2"
При сборке вылетает с ошибкой, ошибка в этой опции.
Помогите решить проблему, не ужели никто не знает почему не работает. Все способы уже перепробовал, но связи нет
Добавлял в /etc/sysctl.conf опцию - net.inet.ip.fw.one_pass=1
Но без результат но.
ЗА ранее спасибо, кто откликнулся.

aspera
рядовой
Сообщения: 12
Зарегистрирован: 2009-11-29 23:56:22
Откуда: Москва
Контактная информация:

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение aspera » 2010-02-09 15:35:46

Если у вас mpd то отключите в его конфиге параметр proxy_arp. Он по умолчанию не может работать в разных сетях.
route add 10.30.0.0/24 192.168.2.1
route add 192.168.1.1/32 192.168.2.1
В итоге - нет связи с локального ПК ни с одгим из этих хостов, хотя ип который мне выдает впн сервер при подключении - 192.168.3.X мне с локального хоста доступен. С самого шлюза - связь присутсвует.
Здесь либо лыжи не едут либо я дурак.... в маршрутах нет ни одного упоминания о третьем сегменте сети, в которой вы получаете ИП
И почему то есть такое ощущение, что на клиентской машине что-то неверно настроено, либо блокируется
Добрым словом и пистолетом можно добиться гораздо большего, нежели просто добрым словом! (Аль Капоне, 1933г.)

unix11
рядовой
Сообщения: 27
Зарегистрирован: 2010-02-09 11:07:57
Откуда: Нижний Тагил

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение unix11 » 2010-02-09 15:49:25

Что-то кажется вы меня не совсем поняли.
1. Сервер под фриБСД 7.0 работает как маршрутизатор фоисной сети + на этом сервере установлен mpd5.
2. MPD5 работает в качестве клиента, подключается к удаленной сети.
конфигурация
default:
load pptp_client
pptp_client:
create bundle static B1
set iface route 10.30.0.0/24 192.168.2.1
set iface route 192.168.1.0/24 192.168.2.1
#
# set iface route
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
create link static L1 pptp
set link action bundle B1
set auth authname "tagil"
set auth password "ghtdtlvtldtl"
set link max-redial 0
set link mtu 1460
set link keep-alive 20 75
set pptp peer 85.12.217.67
set pptp disable windowing
# set persist 5
open
3. При подключении интерфейс ng0, получает реквизиты
192.168.3.2 - > 192.168.2.1
4. После успешного подключения создаются статические маршруты
10.30.0.0 gw 192.168.2.1
192.168.1.1 gw 192.168.2.1
5. C консоли у меня IP 192.168.1.1; 10.30.0.10 - пингуются.
С ПК из локальной сети связи с этими хостами нет.. НЕ МОГУ ПОНЯТ ПОЧЕМУ НЕТ СВЯЗИ!

unix11
рядовой
Сообщения: 27
Зарегистрирован: 2010-02-09 11:07:57
Откуда: Нижний Тагил

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение unix11 » 2010-02-09 15:50:07

Понятно, что что-т я не так настроил, подскажите, что именно или хотя бы в какую сторону копать.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение schizoid » 2010-02-09 16:20:37

3. При подключении интерфейс ng0, получает реквизиты
192.168.3.2 - > 192.168.2.1
зачем так?
выдайте ему ИП из сети 10.30.0.х
ядерный взрыв...смертельно красиво...жаль, что не вечно...

unix11
рядовой
Сообщения: 27
Зарегистрирован: 2010-02-09 11:07:57
Откуда: Нижний Тагил

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение unix11 » 2010-02-10 20:57:25

Построил туннель по технологии IPSEC, маршрутизацию с соединением VPN-PPTP так и не получилось настроить.
Значит, FreeBSD это делать не умеет, а может быть я что-то не так настраивал....
P.S
Сервер VPN к которому я подключаюсь находится не под моим управлением, просить - доказывать, то чтобы там поменяли ИП выдаваемые при подключении - никто этого делать не будет.
Не смог настроить? Значит не знаешь, значит учись...
Тем не менее, спасибо за внимание. :smile:

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблеммы с настройкой ipfw + nat + vpn-подключение

Непрочитанное сообщение snorlov » 2010-02-10 22:39:48

unix11 писал(а):Построил туннель по технологии IPSEC, маршрутизацию с соединением VPN-PPTP так и не получилось настроить.
Значит, FreeBSD это делать не умеет, а может быть я что-то не так настраивал....
P.S
Сервер VPN к которому я подключаюсь находится не под моим управлением, просить - доказывать, то чтобы там поменяли ИП выдаваемые при подключении - никто этого делать не будет.
Не смог настроить? Значит не знаешь, значит учись...
Тем не менее, спасибо за внимание. :smile:
Честно говоря, я офисы связываю через IPSEC+RACOON, а MPD предоставляю для входа одночных клиентов. По поводу подключения к серверу VPN, который не под вашим руководством, мне кажется вам, не тебе а именно вам, это надо по работе, поэтому надо договариваться...