Страница 1 из 1

OpenVPN и IPFW

Добавлено: 2006-10-13 15:56:17
sashaz
Вот ну в чем траблы, что я не правильно делаю? Вот экспериментирую.

Значит так, машина под управлением FreeBSD 5.4, OpenVPN версии 2.0.6_1. Локальная сеть с адрессами 192.168.1.0/24 ходит в интернет через FreeBSD сервер с адрессом 80.80.80.80, а он в свою очередь всех перебрасывает на шлюз 80.80.80.81.
ipfw вкомпилен в ядро. И само-сабой natd запущен на интерфейсе bge0 (80.80.80.80).

default route подымается из rc.conf.

Провайдер поставил задачу через существующее соединение поднять vpn канал и ходить в интернет через него. Для этого запускаю OpenVPN, вот конфиг:

Код: Выделить всё

dev tun
 
remote 66.60.60.60
ifconfig 192.168.3.10 192.168.3.9
 
secret secret.key
 
port 1198
 
; user nobody
; group nobody
 
; comp-lzo
 
; ping 15
 
; ping 15
; ping-restart 45
; ping-timer-rem
; persist-tun
; persist-key
 
verb 3

Тут как-бы без проблем, 192.168.3.9 даже пингуется.

Теперь пытаюсь для теста пустить свой комп в интернет через VPN канал. Запускаю natd на интерфейсе tun0.

ifconfig tun0 | grep inet

Код: Выделить всё

inet 192.168.3.10 --> 192.168.3.9 netmask 0xffffffff

natd -a 192.168.3.10 -p 8778

Конфиг фаервола:

Код: Выделить всё

ipfw -f flush
ipfw add divert 8778 ip from 192.168.1.2 to any
ipfw add divert 8668 ip from 192.168.1.0/24 to any
ipfw add fwd 192.168.3.9 log ip from 192.168.3.10 to any
ipfw add fwd 80.80.80.81 ip from 80.80.80.80 to any
ipfw add divert 8778 log ip from any to 192.168.3.10
ipfw add divert 8668 ip from any to 80.80.80.80
ipfw add allow ip from any to any

Инет с моей машины не работает и в /var/log/security ниче не попадает.
В чем грабли?

Добавлено: 2006-10-13 16:39:51
proxy-man
Тип соединения с провайдером? И - нужен НАТ вообще?

Добавлено: 2006-10-14 13:22:59
sashaz
proxy-man писал(а):Тип соединения с провайдером? И - нужен НАТ вообще?
ADSL модем с IP 80.80.80.81 (реальные опускаю). НАТ нужен, так как через сервер ходит в инет весь оффис.

Фаервол настраивал по принципу как у Лиссяры http://www.lissyara.su/?id=1127.

А чтобы запустить VPN то пока все упростил.

Добавлено: 2006-10-14 15:17:02
proxy-man
sashaz писал(а):
proxy-man писал(а):Тип соединения с провайдером? И - нужен НАТ вообще?
ADSL модем с IP 80.80.80.81 (реальные опускаю). НАТ нужен, так как через сервер ходит в инет весь оффис.

Фаервол настраивал по принципу как у Лиссяры http://www.lissyara.su/?id=1127.

А чтобы запустить VPN то пока все упростил.
Для соединения с провайдером используется РРР? У него же есть собственный НАТ... У мя тоже весь офис ходит в инет через сервер и для соединения с провом тоже РРРоЕ - тока я обошелся без НАТа...

Добавлено: 2006-12-25 22:36:41
zorg
Вообще мне кажется что с тем конфигом фаера что представлен работать не будет.
стоит обратить внимание на директиву fwd, а главное понять что она делает!!!

Добавлено: 2006-12-26 0:06:16
Alex Keda
стоп. на фре инет появился? плясать надо оттуда.