forum.lissyara.su

Добрый день
есть такая задача:
FreBSD 4.11
на которой стоит squid, машина смотрит и в локалку и в мир, внешний и внутренний айпишки. Настроил squid, все работает, тунели и natd были до меня настроенный (прошлым админом, gif и racon ), ipfw настраивал я сам, все хорошо если бы не мог настроить ipfw + VPN, без VPN ipfw работает хорошо, но при этом тунели не работают (у меня их 3), начал копаться и при правилах ipfw:
00251 24 1200 allow ip from any to any via gif5
00252 0 0 allow ip from any to any via gif3
00253 1 98 allow ip from any to any via gif4
полностью работает gi5 я могу его пинговать и заходить на сервер по тунелю
все остальные не могу пинговать хотя по ipfw show счетчики мотает и это все при конечном правиле deny ip from any to any
если уберем то правило то все работае хорошо.
В gif3 надо заходить на инет сайт если при включенном deny то счетчик мотаеться а на сайт не заходит, пишит (60) Operation timed out, експерементировал справилами которые написанные в статье, по ним ничего не ходит, пробывал ставить их и перед divertom и после, ничего не изменилось, в сквиде прописал
acl Safe_ports port 500 # VPN
не помогло.
Вопрос: как поднять тунели на gif3 и gif4?
если что то написал коряво и непонятно не обезсудьте, поправте или спросите, отвечу. спасибо

ядро собранно с опциями
options IPSEC
options IPSEC_ESP
options IPSEC_FILTERGIF

Ты первым правилом gif5 весь траф в этот тунель загоняешь, ты определись что в какой тунель хочешь запихать!!! А это можно понять соответственно из адреса назначения, (если я всё правильно у тя понимаю), то есть "to any" у тя может только в последнем правиле по тунелям быть, но опять же всё завист от всех твоих настроек. так что чтобы точно помочь смогли, дай задачу полностью, что куда хошь направлять.

zorg писал(а):Ты первым правилом gif5 весь траф в этот тунель загоняешь, ты определись что в какой тунель хочешь запихать!!! А это можно понять соответственно из адреса назначения, (если я всё правильно у тя понимаю), то есть "to any" у тя может только в последнем правиле по тунелям быть, но опять же всё завист от всех твоих настроек. так что чтобы точно помочь смогли, дай задачу полностью, что куда хошь направлять.

Задача такая: надо что б все работали тунели, их у меня три штуки и без deny any to any работают все три штуки, с включенным правилом работает только gif5 остальные (gif3 и gif4 ) не работают

вот сейчас поменял для експеремента местами правила в ipfw, всеравно работает только gif5

а какие менял местами??

а может остальные и правда не работают?

менял местами правила по отношению gif3,gif4 и gif5 и до и после divert на natd и местами менял перед и до самих
на счет что "не работают остальные" без правила deny ip from any to any работают все тунели

еще маленькое уточнение может вдруг поможет у меня настроен ipnat
вот его правила
rdr xl0 192.168.7.1/32 port 80 -> 192.168.7.1 port 80
rdr xl0 0.0.0.0/0 port 80 -> 192.168.7.1 port 8080 tcp

map rl1 192.168.7.0/16 -> 0.0.0.0/32 portmap tcp/udp 40000:65000
map rl1 192.168.7.0/16 -> 0.0.0.0/32