VPN +ipfw+squid+natd

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
lookout
проходил мимо

VPN +ipfw+squid+natd

Непрочитанное сообщение lookout » 2006-08-21 16:59:19

Добрый день
есть такая задача:
FreBSD 4.11
на которой стоит squid, машина смотрит и в локалку и в мир, внешний и внутренний айпишки. Настроил squid, все работает, тунели и natd были до меня настроенный (прошлым админом, gif и racon ), ipfw настраивал я сам, все хорошо если бы не мог настроить ipfw + VPN, без VPN ipfw работает хорошо, но при этом тунели не работают (у меня их 3), начал копаться и при правилах ipfw:
00251 24 1200 allow ip from any to any via gif5
00252 0 0 allow ip from any to any via gif3
00253 1 98 allow ip from any to any via gif4
полностью работает gi5 я могу его пинговать и заходить на сервер по тунелю
все остальные не могу пинговать хотя по ipfw show счетчики мотает и это все при конечном правиле deny ip from any to any
если уберем то правило то все работае хорошо.
В gif3 надо заходить на инет сайт если при включенном deny то счетчик мотаеться а на сайт не заходит, пишит (60) Operation timed out, експерементировал справилами которые написанные в статье, по ним ничего не ходит, пробывал ставить их и перед divertom и после, ничего не изменилось, в сквиде прописал
acl Safe_ports port 500 # VPN
не помогло.
Вопрос: как поднять тунели на gif3 и gif4?
если что то написал коряво и непонятно не обезсудьте, поправте или спросите, отвечу. спасибо

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ядро
проходил мимо

Непрочитанное сообщение ядро » 2006-08-21 17:04:35

ядро собранно с опциями
options IPSEC
options IPSEC_ESP
options IPSEC_FILTERGIF

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-08-21 17:06:42

Ты первым правилом gif5 весь траф в этот тунель загоняешь, ты определись что в какой тунель хочешь запихать!!! А это можно понять соответственно из адреса назначения, (если я всё правильно у тя понимаю), то есть "to any" у тя может только в последнем правиле по тунелям быть, но опять же всё завист от всех твоих настроек. так что чтобы точно помочь смогли, дай задачу полностью, что куда хошь направлять.
Всё дело в перце!! :)

lookout
проходил мимо

Непрочитанное сообщение lookout » 2006-08-21 17:19:39

zorg писал(а):Ты первым правилом gif5 весь траф в этот тунель загоняешь, ты определись что в какой тунель хочешь запихать!!! А это можно понять соответственно из адреса назначения, (если я всё правильно у тя понимаю), то есть "to any" у тя может только в последнем правиле по тунелям быть, но опять же всё завист от всех твоих настроек. так что чтобы точно помочь смогли, дай задачу полностью, что куда хошь направлять.
Задача такая: надо что б все работали тунели, их у меня три штуки и без deny any to any работают все три штуки, с включенным правилом работает только gif5 остальные (gif3 и gif4 ) не работают

lookout
проходил мимо

Непрочитанное сообщение lookout » 2006-08-21 17:23:01

вот сейчас поменял для експеремента местами правила в ipfw, всеравно работает только gif5

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-08-21 18:36:10

а какие менял местами??
Всё дело в перце!! :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-08-21 20:22:55

а может остальные и правда не работают?
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2006-08-22 8:33:12

менял местами правила по отношению gif3,gif4 и gif5 и до и после divert на natd и местами менял перед и до самих
на счет что "не работают остальные" без правила deny ip from any to any работают все тунели

lookout
проходил мимо

Непрочитанное сообщение lookout » 2006-08-22 9:41:12

еще маленькое уточнение может вдруг поможет у меня настроен ipnat
вот его правила
rdr xl0 192.168.7.1/32 port 80 -> 192.168.7.1 port 80
rdr xl0 0.0.0.0/0 port 80 -> 192.168.7.1 port 8080 tcp

map rl1 192.168.7.0/16 -> 0.0.0.0/32 portmap tcp/udp 40000:65000
map rl1 192.168.7.0/16 -> 0.0.0.0/32