VPN

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
sabko
проходил мимо

VPN

Непрочитанное сообщение sabko » 2012-10-31 10:42:31

Код: Выделить всё

Доброго времени суток.. пару недель назад установил связку FreeBSD9.0+IPFW+apache+MySQL+Squid+sams+Rejik
Долго промучился с правилами IPFW, так и недокопался до сути проблемы в итоге просто напросто "отключил" его... прокся работает, трафик считает, страницы режутся - пользователи носят "откаты"..
И все бы хорошо, пока сегодня не приехал товарищ с головной конторы со словами "возрадуйся - будем внедрять 1С"... естественно сама база находиться далеко-далеко, в моей же сети только клиентские части, которыми юзеры должны подключаться к базе 1С в городе-герое Москве, должны, но не могут.. 
В итоге для того чтобы данный товарищ смог провести свои манипуляции с 1С пришлось выключать проксю, тк своим серым веществом я так и не сообразил как его пропустить через прокси.. Если есть люди которые сталкивались с данной проблемой, или просто желающие/имеющие возможность помоч, прошу откликнуться, ибо очень не хочу ставить вин2008 сервер и накатывать на нее какой нить юзер гейт, который в красках расхваливает мне приезжий "внедритель" 1С..
в качестве справки :
интернет ADSL, внешний адрес динамический, внутренний адрес модема 192,168,1,1
rc.conf
ifconfig_vr0="DHCP" # WAN IF
ifconfig_ale0="inet 192.168.137.10 netmask 255.255.255.0" # LAN IP
hostname="proxysrv.local"
keymap="ru.koi8-r.kbd"

defaultrouter="192.168.1.1" # Modem

sshd_enable="YES"

#======== Router settings ===========
gateway_enable="YES"
natd_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
#firewall_nat_enable="YES"
#firewall_nat_interface="ale0"
firewall_script="/etc/ipfw/ipfw-rules.sh"
natd_interface="vr0"
#====================================

sendmail_enable="NO"

mysql_enable="YES" 
apache22_enable="YES"
squid_enable="YES"
sams_enable="YES"
#samba_enable="YES"
#inetd_enable="YES"


Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

sabko
проходил мимо

VPN

Непрочитанное сообщение sabko » 2012-10-31 10:47:39

Код: Выделить всё

#!/bin/sh

ipfw -q -f flush

fwcmd="/sbin/ipfw" # Tak bystree budet
natdcmd=/sbin/natd # NAT on
skip="skipto 400"

LanIF="ale0"  #Interface LAN
LanNet="192.168.137.0/24"   #LAN IP
LanIP=`ifconfig ale0 | grep inet | awk '{print $2}'`   
WanIF="vr0"   #Interface WAN
WanIP=`ifconfig vr0 | grep inet | awk '{print $2}'` #WAN IP

# net zapretov vnutri IF smotriashego v lokalky
$fwcmd add 010 allow all from any to any via ale0

# net ogranichenyi na Loopback IF
$fwcmd add 020 allow all from any to any via lo0

# rybim poputki IF lo0 kedato otkydato lezt
$fwcmd add 030 deny ip from any to 127.0.0.0/8
$fwcmd add 040 deny ip from 127.0.0.0/8 to any

# poslat vseh na prozrachnui squid
$fwcmd add 050 fwd 127.0.0.1,8080 tcp from $LanNet to any 21,80,443,5190 out via $WanIF

# Incomming NAT
$fwcmd add 060 divert natd ip from any to any in via $WanIF

# razreshit pakety prohodit esli predudyshyi bul otpravlen
# v dinamich tablicy pravil s razresheniem sostoyaniyaя keep-state
$fwcmd add 070 check-state

############## Outgoing ################

# Outgoing PING
$fwcmd add 100 $skip icmp from any to any keep-state

# Outgoing NTP
$fwcmd add 105 $skip udp from any to any 123 out via $WanIF keep-state

# razreshit  DNS
$fwcmd add 110 $skip udp from any to any 53 out via $WanIF keep-state
$fwcmd add 111 $skip tcp from any to any 53 out via $WanIF setup keep-state
$fwcmd add 120 allow tcp from $LanNet to any via $WanIF setup keep-state

# uzeru idyt v obhod squid
$fwcmd add 140 $skip all from $LanNet to any 4899 out via $WanIF setup keep-state
$fwcmd add 150 $skip all from $LanNet to any 3389 out via $WanIF setup keep-state
$fwcmd add 160 $skip all from $LanNet to any 25 out via $WanIF setup keep-state
$fwcmd add 170 $skip all from $LanNet to any 110 out via $WanIF setup keep-state

# razreshen localnui vuhodd s servera
$fwcmd add 190 $skip all from $WanIP to any out via $WanIF setup keep-state

############# Incoming ################

# zapreshen ves vhodyashi traffik iz zarezervirovannuh adresnuh prostranstv
$fwcmd add 200 deny all from 192.168.0.0/16  to any in via $WanIF  #RFC 1918 private IP
$fwcmd add 201 deny all from 172.16.0.0/12   to any in via $WanIF  #RFC 1918 private IP
$fwcmd add 202 deny all from 10.0.0.0/8      to any in via $WanIF  #RFC 1918 private IP
$fwcmd add 203 deny all from 127.0.0.0/8     to any in via $WanIF  #loopback
$fwcmd add 204 deny all from 0.0.0.0/8       to any in via $WanIF  #loopback
$fwcmd add 205 deny all from 169.254.0.0/16  to any in via $WanIF  #DHCP auto-config
$fwcmd add 206 deny all from 192.0.2.0/24    to any in via $WanIF  #reserved for docs
$fwcmd add 207 deny all from 204.152.64.0/23 to any in via $WanIF  #Sun cluster
$fwcmd add 208 deny all from 224.0.0.0/3     to any in via $WanIF  #Class D & E multicast

# zapreshen ident
$fwcmd add 215 deny tcp from any to any 113 in via $WanIF

# zapreshaem ves servis NetBios. 137=imya, 138=deitagramma, 138=sessiya
$fwcmd add 220 deny tcp from any to any 137 in via $WanIF
$fwcmd add 221 deny tcp from any to any 138 in via $WanIF
$fwcmd add 222 deny tcp from any to any 139 in via $WanIF
$fwcmd add 223 deny tcp from any to any 81  in via $WanIF

# vhodyashi ping neskolko tipov
$fwcmd add 300 allow icmp from any to $WanIP in via $WanIF icmptypes 0,8,11 limit src-addr 2

# razreshit vhodyashuy www funkciy esli est web server
$fwcmd add 310 allow tcp from any to $WanIP 80 in via $WanIF setup limit src-addr 2

# razreshen vhodyashi bezopasnui SSH
$fwcmd add 320 allow tcp from any to $WanIP 22 in via $WanIF setup limit src-addr 2

# razreshena vhodyashaya SMTP esli est post server
$fwcmd add 330 allow tcp from any to $WanIP 25 in via $WanIF setup limit src-addr 2

# razreshit POP3 bla bla bla
$fwcmd add 340 allow tcp from any to $WanIP 110 in via $WanIF setup limit src-addr 2

# razreshit R-Admin
$fwcmd add 350 allow tcp from any to $WanIP 4899 in via $WanIF setup limit src-addr 2

# razreshit yje ystanovlenue soedineniya
$fwcmd add 360 allow all from any to any established

########### Final ###############

# otrybit vse chto yshlo v skeep
$fwcmd add 399 deny log all from any to any

# outgoing NAT
$fwcmd add 400 divert natd ip from any to any out via $WanIF

# vupystit paketu iz skeepa
$fwcmd add 410 allow all from any to any
# VPN Syka
$fwcmd add 450 allow gre from any to any
# rejem vse lishnee s zaneseniem v log
$fwcmd add 999 allow log all from any to any
Собственно вопрос, где я налажал при установке связки так что не пускает в интернет, и что делать на данный момент чтобы бухгалтер Маша могла работать в 1С


mak_v_
проходил мимо

Re: VPN

Непрочитанное сообщение mak_v_ » 2012-10-31 11:07:39

Каким образом у вас должно происходить подключение "к 1с"?
Впн? Рдп поверх ВПН? просто РДП?

sabko
проходил мимо

VPN

Непрочитанное сообщение sabko » 2012-10-31 11:12:16

Предполагаю что через впн, ибо перед конфигурированием своих плюшек внедритель устанавливал впн соединение, на вопрос же по какому протоколу и как ВООБЩЕ работает клиент 1С он просто округлил глаза..

mak_v_
проходил мимо

Re: VPN

Непрочитанное сообщение mak_v_ » 2012-10-31 11:20:15

Впн-тунель у вас уже работает?

mak_v_
проходил мимо

Re: VPN

Непрочитанное сообщение mak_v_ » 2012-10-31 11:28:16

Впн-тунель у вас уже работает?
Если так, то настройте маршрутизацю и разрешите прохождение пакетов от вашей сети к серверу 1с по порту 1540-1541, 1560:1591 tcp (без ната)
Но, "по правильному", дабы 1с не создавала "тучу трафика" - поставьте в "удленной сети с сервером 1с" терминальный сервер. ИМХО - у меня пяток филиалов так работает.

sabko
проходил мимо

VPN

Непрочитанное сообщение sabko » 2012-10-31 11:31:37

впн сейчас не работает, не может он подключиться

mak_v_
проходил мимо

Re: VPN

Непрочитанное сообщение mak_v_ » 2012-10-31 11:38:29

Настройте впн, а потом уже за 1с беритесь. А то получается сели на горшок, а штаны снять забыли.
Все по порядку.

sabko
проходил мимо

VPN

Непрочитанное сообщение sabko » 2012-10-31 12:30:56

так и весь вопрос как мне настроить впн? прелюдия с 1С была для конкретного случая, мне необходимо чтобы при работающем прокси работали впн соединения,через которые работает 1С, НО если у меня файрвол имеет статус open, почему не соединяет? собственно и вопрос куда и что в правилах подставить чтоб соединяло

mak_v_
проходил мимо

Re: VPN

Непрочитанное сообщение mak_v_ » 2012-10-31 12:47:29

мдя.....опять поциент?
ВПН ?????? просто он не работает...а конфиги ему не надо, впрочем как и логи.
А вот 1С - надо.. и блин фаервол...ну и проксю туда, а ещё мне бы CS-сервер.
Подскажите, где у меня в Оракле проблема?

при работающем прокси работали впн соединения,через которые работает 1С,
-что бы это значило?