forum.lissyara.su

Добавлено: **2008-05-12 14:53:28**

/root/># uname -mrs
FreeBSD 6.2-RELEASE i386

Помогите разобраться каким образом можно разрешить хождение трафика VPN через IPFW. Все что знал перепробовал.

Задача такая. Есть сервер VPN (злоОС, pptp) в инете, я сижу за шлюзом (squid+nat (правила именно в этой последовательности)). Пытаюсь соединится с VPN сервером (я сижу на XP Pro) в логах IPFW след.:

Код: Выделить всё

May 12 14:20:23 gateway kernel: ipfw: 200 Deny P:47 195.96.хх.хх 192.168.0.103 in via fxp0

195 - VPN-сервер
192 - я

Добавляю правило (до squid):

Код: Выделить всё

$cmd 050 allow log gre from any to any

Пытаюсь соединится с VPN-сервером на стадии проверки пароля и логина в логах след.:

Код: Выделить всё

May 12 14:23:09 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:10 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0
May 12 14:23:11 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:13 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0
May 12 14:23:14 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:16 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0
May 12 14:23:18 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:19 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0
May 12 14:23:22 gateway kernel: ipfw: 50 Accept P:47 192.168.0.103 195.96.хх.хх out via fxp0
May 12 14:23:22 gateway kernel: ipfw: 50 Accept P:47 195.96.хх.хх 85.21.хх.хх in via fxp0

85 - gateway

ЗлоОС выдает 619 ошибку. Правило для squid ловит только 80 порт. Natd открыт и пропускает весь остальной трафик. Провайдер никаких ограничений не ставит. VPN-сервер точно рабочий. Что еще нужно сделать?

Добавлено: **2008-05-12 17:01:07**

Вроде еще надо разрешить TCP порт 1723

Добавлено: **2008-05-12 17:20:14**

Так ведь natd полностью открытый:

Код: Выделить всё

00065 divert 8668 ip from any to any in via fxp0
00066 skipto 500 udp from 192.168.0.0/24 to any out via fxp0 keep-state
00067 skipto 500 tcp from 192.168.0.0/24 to any out via fxp0 setup keep-state
00068 skipto 500 icmp from 192.168.0.0/24 to any out via fxp0
...
00500 divert 8668 ip from any to any out via fxp0
65535 allow ip from any to any

Просто смысла нет открывать отдельно порт. Но ради интереса. Добавил строчку:

Код: Выделить всё

$cmd 051 allow log tcp from any to any 1723 setup $ks

Теперь в логах про gre вообще нет упоминаний, т.е. до проверки пароля и логина не доходит:

Код: Выделить всё

May 12 18:13:37 gateway kernel: ipfw: 51 Accept TCP 192.168.0.103:1649 195.96.190.174:1723 out via fxp0

Вот и все. В первом же случае, он все-таки соединяется с сервером, но что-то не срабатывает.

Добавлено: **2008-05-12 17:57:54**

для теста сделайте проще
nat через pf или ipnat
и весь фаервол allow all
если заработает
значит у вас что то накручено
если нет
значит где то дальше по трассе непроходит - скорее всего по mtu
в крайнем случае смотреть лог сервера pptp & pppd

forum.lissyara.su

Как протащить VPN через IPFW

Как протащить VPN через IPFW

Re: Как протащить VPN через IPFW

Re: Как протащить VPN через IPFW

Re: Как протащить VPN через IPFW