IPFW как правильно выпустить VPN
Добавлено: 2013-05-29 13:07:32
Добрый день.
Ситуация следующая.
Есть шлюз freebsd8.2, он работает как VPN сервер, так же необходимо разрешить VPN из локальной сети (nat) lдля локальных клиентов, и самому шлюзу создавать одно VPN подключение.
Конфиг IPFW для VPN сервера показывать не буду ибо работает, его правила находятся ниже показаных мной секций.
По ниже показанным правила работает всегда та секция правил что находится выше.
Т.е. или шлюз может создавать VPN или можно натить VPN в инет.
Помогите разрулить ситуацию, хочется что б все работало ))).
mpd5 - это интерфейс который создает демон mpd5 для создания VPN подключения.
Есть подозрение что трафик уходит в инет как нужно? а вот когда возвращается попадает на правила
Ну а далее кто первый того и тапки.
Ситуация следующая.
Есть шлюз freebsd8.2, он работает как VPN сервер, так же необходимо разрешить VPN из локальной сети (nat) lдля локальных клиентов, и самому шлюзу создавать одно VPN подключение.
Конфиг IPFW для VPN сервера показывать не буду ибо работает, его правила находятся ниже показаных мной секций.
По ниже показанным правила работает всегда та секция правил что находится выше.
Т.е. или шлюз может создавать VPN или можно натить VPN в инет.
Помогите разрулить ситуацию, хочется что б все работало ))).
mpd5 - это интерфейс который создает демон mpd5 для создания VPN подключения.
Код: Выделить всё
# =============Разрешаем шлюзу создавать VPN подключения ================
${fw} add allow tcp from ${ext_gateway_ip} to any 1723 out via ${ext_if}
${fw} add allow gre from ${ext_gateway_ip} to table\(5\) out via ${ext_if}
${fw} add allow tcp from any 1723 to ${ext_gateway_ip} in via ${ext_if}
${fw} add allow gre from table\(5\) to ${ext_gateway_ip} in via ${ext_if}
${fw} add allow all from { 192.168.0.1,192.168.0.2 } to any out via mpd5
${fw} add allow all from any to { 192.168.0.1,192.168.10.2 } in via mpd5
# ========================================================================
# ====================== NAT VPN в инет ======================================================
${fw} add nat 1 tag 8 tcp from table\(3\) to any 1723 out recv ${int_if} xmit ${ext_if}
${fw} add nat 1 tag 8 gre from table\(3\) to any out recv ${int_if} xmit ${ext_if}
${fw} add nat 1 tag 8 gre from ${ext_gateway_ip} to any out via ${ext_if}
${fw} add allow tcp from ${ext_gateway_ip} to any 1723 out via ${ext_if} tagged 8
${fw} add allow gre from ${ext_gateway_ip} to any out via ${ext_if} tagged 8
${fw} add nat 1 tag 8 tcp from any 1723 to ${ext_gateway_ip} in via ${ext_if}
${fw} add nat 1 tag 8 gre from any to ${ext_gateway_ip} in via ${ext_if}
${fw} add allow tcp from any 1723 to table\(3\) in via ${ext_if} tagged 8
${fw} add allow gre from any to table\(3\) in via ${ext_if} tagged 8
# ============================================================================================
Код: Выделить всё
.....
${fw} add allow tcp from any 1723 to ${ext_gateway_ip} in via ${ext_if}
${fw} add allow gre from table\(5\) to ${ext_gateway_ip} in via ${ext_if}
....
${fw} add nat 1 tag 8 tcp from any 1723 to ${ext_gateway_ip} in via ${ext_if}
${fw} add nat 1 tag 8 gre from any to ${ext_gateway_ip} in via ${ext_if}
.....