Прошу помощи в настройке роутера.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
UsCr
мл. сержант
Сообщения: 77
Зарегистрирован: 2010-09-01 12:16:57

Прошу помощи в настройке роутера.

Непрочитанное сообщение UsCr » 2010-09-25 23:16:05

Здравствуйте.
Есть компьютер с двумя сетевыми картами.
rl0 - смострит в интернет
rl1 - смотрит в локалку

Интернет машина получает по VPN

Задача: раздавать интернет в локальную сеть через rl1.

Мой конфиг ipfw:

Код: Выделить всё

nat 1 config if rl0

add allow ip from any to any via lo0
add allow all from any to any in via rl1
add nat 1 all from any to any via rl0
add check-state
add skipto 64000 all from any to any out via rl0 keep-state
add 64000 nat 1 all from any to any out via rl0
add 64001 allow all from any to any
При таком конфиге я из локалки погу пинговать сам роутер и адреса в провайдерской локалке. С роутера, соответственно, тоже могу пинговать локалку. Когда на роутере поднимаю VPN (с помощью pptpclient) то на команду ping ya.ru на роутере получаю такой ответ:
ping: sendto: No buffer space available

Что не так с конфигом?
Подскажите, как правильно сконфигурировать нат? Подозреваю, что возникнут проблемы, из-за использования VPN.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение rmn » 2010-09-26 10:31:41

Код: Выделить всё

nat 1 config if rl0
add allow ip from any to any via lo0
add allow all from any to any in via rl1
add nat 1 all from any to any via rl0
больше не надо ничего

net.inet.ip.fw.one_pass должна быть 1

UsCr
мл. сержант
Сообщения: 77
Зарегистрирован: 2010-09-01 12:16:57

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение UsCr » 2010-09-26 12:11:22

rmn писал(а):

Код: Выделить всё

nat 1 config if rl0
add allow ip from any to any via lo0
add allow all from any to any in via rl1
add nat 1 all from any to any via rl0
больше не надо ничего

net.inet.ip.fw.one_pass должна быть 1
Нет.
Ping: sendto: permission denied
При попытке пинговать что-либо дальше 127.0.0.1.
Аналогично из локалки роутер при таком конфиге не пингуется.
add allow all from any to any in via rl1 - а эта строка в принципе не вызовет проблем с безопасностью?

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение rmn » 2010-09-26 12:21:23

Код: Выделить всё

add allow all from any to any via rl1
вот так надо (без in)
UsCr писал(а):а эта строка в принципе не вызовет проблем с безопасностью?
Если секретные данные пентагона не хранишь на роутере, ничего страшного не случится.

UsCr
мл. сержант
Сообщения: 77
Зарегистрирован: 2010-09-01 12:16:57

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение UsCr » 2010-09-26 12:56:43

rmn писал(а):

Код: Выделить всё

add allow all from any to any via rl1
вот так надо (без in)
UsCr писал(а):а эта строка в принципе не вызовет проблем с безопасностью?
Если секретные данные пентагона не хранишь на роутере, ничего страшного не случится.
Ping: sendto: permission denied

Сейчас попробую ядро пересобрать с нужными опциями (до этого ограничивался необходимыми записями в /etc/rc.conf).

UsCr
мл. сержант
Сообщения: 77
Зарегистрирован: 2010-09-01 12:16:57

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение UsCr » 2010-09-26 15:17:46

Сборка ядра не помогла, что, впрочем, не удивительно.

Итак, сейчас конфиг фаервола выглядит так:

allow ip from any to any via lo0
allow ip from any to any via rl1
nat 1 config if rl0 deny_in
nat 1 ip from any to any via rl0

Пинговать могу адреса в локалке за роутером и 127.0.0.1. При попытке пинговать адреса в локалке провайдера - sendto: permission deny

При добавлении aalow all from any to any пинги в провайдерскую локалку идут. Проблемы с натом?


Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение schizoid » 2010-09-28 14:48:20

ipfw show
походу последним правилом все рубится
а что за ВПН вы поднимаете?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение terminus » 2010-09-28 17:22:38

UsCr писал(а):Мне убить себя? :(
Версия FreeBSD какая? 8.1?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение Laa » 2010-09-28 17:57:03

Если впн, то, наверное есть mpd, покажите его конфиг.
Покажите выводы ifconfig, ipfw show, netstat -rn
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

UsCr
мл. сержант
Сообщения: 77
Зарегистрирован: 2010-09-01 12:16:57

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение UsCr » 2010-09-30 16:54:24

schizoid писал(а):ipfw show
походу последним правилом все рубится
а что за ВПН вы поднимаете?
Это очевидно. В том и вопрос: что не так в конфиге?
ВПН поднимаю pptp.

terminus писал(а):Версия FreeBSD какая? 8.1?
Да.
Laa писал(а):Если впн, то, наверное есть mpd, покажите его конфиг.
Покажите выводы ifconfig, ipfw show, netstat -rn
Использую pptpclient.
Конфиг и выводы могу показать, но нужно ли? Сейчас ведь явно в фаерволе дело, я не могу достучаться до ВПН сервера (ровно как и до ДНС). Могу пинговать только компьютер за натом.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение terminus » 2010-09-30 18:03:09

UsCr писал(а):
terminus писал(а):Версия FreeBSD какая? 8.1?
Да.
там поломали one_pass
http://forum.lissyara.su/viewtopic.php? ... 50#p258664
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

UsCr
мл. сержант
Сообщения: 77
Зарегистрирован: 2010-09-01 12:16:57

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение UsCr » 2010-10-01 6:59:18

terminus писал(а): там поломали one_pass
http://forum.lissyara.su/viewtopic.php? ... 50#p258664
От оно как! А мне эта проблема не мало мозги посушила. А как скоро во фряхе принято латать такого рода косяки? Я так понимаю, для починки нужно скачать свежие исходники ядра и собрать ядро?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение FreeBSP » 2010-10-01 9:31:46

обнови исходники и почитай /usr/src/UPDATING
ну или PR поищи по теме и смотри на его статус
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение terminus » 2010-10-01 10:04:11

PR-ов про это написана уже куева хуча. Похоже что всем просто пофиг...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение FreeBSP » 2010-10-01 10:10:51

а в пр заплаты есть? если есть то надо массово стучаться в рассылки
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение terminus » 2010-10-01 10:48:01

Ха! Три года не прошло, а Луиджи уже почесался.
http://lists.freebsd.org/pipermail/free ... 04394.html
Это как я понял коммит в карент и стабле. В релиз с патчами неизвестно когда попадет.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение FreeBSP » 2010-11-03 23:01:01

В воскресенье собирал стабил. патчил руками
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение hizel » 2010-11-03 23:02:31

terminus писал(а):Ха! Три года не прошло, а Луиджи уже почесался.
http://lists.freebsd.org/pipermail/free ... 04394.html
Это как я понял коммит в карент и стабле. В релиз с патчами неизвестно когда попадет.
це це, я вижу претензии, думаю если бы хотя бы в одном из трех PR был бы патч - реакция была бы гораздо реактивнее
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение FreeBSP » 2010-11-03 23:45:17

забабахаем новый с патчем? =)
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение hizel » 2010-11-03 23:48:22

подсказка, каждую неделю выпускается сводка по всем не решенным проблемам ;-)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Прошу помощи в настройке роутера.

Непрочитанное сообщение FreeBSP » 2010-11-04 12:50:56

дядь, не обижайся на мылыша =) я в воскресенье только свой первый стабил поставил :sorry: :oops:
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!