Страница 1 из 1
Помогите с GRE за NAT
Добавлено: 2008-10-10 16:36:06
lexa_kiev
Дано: FreeBSD 7.0 в локалке за ADSL роутером D-link 2500. Внешний адрес статический. В роутере задан проброс порта 47 на машину с фрей.
Задача: установить GRE туннель с роутером провайдера.
Вопрос: какой адрес писать в команде ifconfig gre0 tunnel <мой_ip> <провайдер>
- внешний адрес (адрес роутера) или адрес машины во внутренней сети (192.168.1.254) ?
Пробовал и так и так, но пинг на сеть провайдера не проходит (маршрут добавил).
Да и пинг на виртуальный адрес удаленного конца туннеля тоже.
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 16:55:23
schizoid
а чего не pptp туннель?
ну а по сабжу ИП Д-Линка нуно указывать
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 16:57:15
paradox
наскоко я помню gre через nat не работает
помоему такую тему уже поднимали...
хотя я могу ошибаться
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 16:57:46
schizoid
работает
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 17:03:45
schizoid
fxp0 - интерфейс смотрящий на модем (модем в режиме роутера)
Код: Выделить всё
# ifconfig
rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.150 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:a0:d2:10:71:a0
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 192.168.30.2 netmask 0xfffffffc broadcast 192.168.30.3
ether 00:15:e9:b1:dc:c0
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 192.168.40.2 netmask 0xfffffffc broadcast 192.168.40.3
ether 00:02:b3:99:e2:02
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
pflog0: flags=0<> mtu 33208
pfsync0: flags=0<> mtu 2020
syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng1: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1452
inet 192.168.5.54 --> 192.168.1.254 netmask 0xffffffff
ng3: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng4: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
inet 192.168.0.150 --> 192.168.0.187 netmask 0xffffffff
ng5: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng6: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng7: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng8: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng9: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng10: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 17:05:31
schizoid
как видно ща 2 туннеля
первый: от меня на ЦО
второй: какой-то из сотрудников удаленно подключился к сети
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 17:20:08
lexa_kiev
schizoid писал(а):fxp0 - интерфейс смотрящий на модем (модем в режиме роутера)
По моему это у тебя немного не то о чем я. PPTP (mpd) и у меня работает на эту фрю за модемом-роутером.
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 17:58:14
schizoid
пптп работает по gre
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 18:16:35
Alex_hha
наскоко я помню gre через nat не работает
По дефолту не работает, надо лишь подгрузить модули
# rpm -ql kernel-2.6.18-92.1.13.el5 | grep pptp
/lib/modules/2.6.18-92.1.13.el5/kernel/net/ipv4/netfilter/ip_conntrack_pptp.ko
/lib/modules/2.6.18-92.1.13.el5/kernel/net/ipv4/netfilter/ip_nat_pptp.ko
Как это в FreeBSD не знаю
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 18:19:44
paradox
как мне кажеться
хоть и pptp построен на GRE
но поднятие чистого GRE это немного другое дело
поскольку у GRE нет порта
и это не TCP протокол как pptp
поэтому надо експериментировать
и анализировать tcpdump
что бы понять
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 18:20:37
Sadok123
schizoid писал(а):как видно ща 2 туннеля
у меня есть суровое подозрение в этом и трабл. если б фря сама была "пограничником" - решить можно.
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 18:24:39
paradox
роутере задан проброс порта 47 на машину с фрей
47 это не номер порта
это номер протокола)
разберитесь что вы там пробрасываете
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 18:41:33
lexa_kiev
paradox писал(а): роутере задан проброс порта 47 на машину с фрей
47 это не номер порта
это номер протокола)
разберитесь что вы там пробрасываете
Да, извините, это я глупость сделал, попутал порт и протокол. Я поместил машину с фрей в DMZ роутера. Все так же не работает. Хотя MPD на это машине работает, и доступ извне по VPN есть.
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 18:45:11
paradox
tcpdump в руки)
и смотри по 47 протоколу что там происходит
к томуже исключи траффик от mpd который тоже будет по 47 протоколу ити
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 19:49:43
hizel
я уже неоднократно ругался на этот высер майкрософтовской мысли
этап инициации проходит через 1723 порт tcp
потом данные несутся через GRE
ну а GRE через nat проходят только через костыли
в линуксе это доп модулек
в natd и libalias оно уже внедерено по умолчанию
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 19:57:43
paradox
причем тут pptp ???
мы gre Обсуждаем
который через ifconfig поднимаеться
разве там pptp ???
мля
пошел смотреть в соурсы if gre
Re: Помогите с GRE за NAT
Добавлено: 2008-10-10 20:21:00
hizel
хм, мда, ну хоть пнул мелкософт еще раз
Re: Помогите с GRE за NAT
Добавлено: 2008-10-12 0:48:05
Yam
Код: Выделить всё
Небольшой ликбез:
111.111.111.1 - внешний интерфейс r1
1.1.1.1 - окончание тунеля на r1
192.168.1.0/24 - приватная сеть за r1
222.222.222.1 - внешний интерфейс r2
1.1.1.2 - окончание тунеля на r2
192.168.2.0/24 - приватная сеть за r2
На одном конце:
r1# ifconfig gre create
r1# ifconfig gre0 inet 1.1.1.1 1.1.1.2
r1# ifconfig gre0 tunnel 111.111.111.1 222.222.222.1
r1# ifconfig gre0
gre0: flags=9051<UP,POINTOPOINT,RUNNING,LINK0,MULTICAST> metric 0 mtu 1476
tunnel inet 111.111.111.1 --> 222.222.222.1
inet 1.1.1.1 --> 1.1.1.2 netmask 0xff000000
r1# route add -net 192.168.2.0 1.1.1.2
На другом:
r2# ifconfig gre create
r2# ifconfig gre0 inet 1.1.1.2 1.1.1.1
r2# ifconfig gre0 tunnel 222.222.222.1 111.111.111.1
r2# ifconfig gre0
gre0: flags=9051<UP,POINTOPOINT,RUNNING,LINK0,MULTICAST> metric 0 mtu 1476
tunnel inet 222.222.222.1 --> 111.111.111.1
inet 1.1.1.2 --> 1.1.1.1 netmask 0xff000000
r2# route add -net 192.168.1.0 1.1.1.1
r1# ping 222.222.222.1
PING 222.222.222.1 (222.222.222.1): 56 data bytes
64 bytes from 222.222.222.1: icmp_seq=0 ttl=255 time=0.455 ms
64 bytes from 222.222.222.1: icmp_seq=1 ttl=255 time=0.452 ms
r1# ping 1.1.1.2
PING 1.1.1.2 (1.1.1.2): 56 data bytes
64 bytes from 1.1.1.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 1.1.1.2: icmp_seq=1 ttl=255 time=0.448 ms
r1# ping 192.168.2.1
PING 192.168.2.1 (192.168.2.1): 56 data bytes
64 bytes from 192.168.2.1: icmp_seq=0 ttl=255 time=0.464 ms
64 bytes from 192.168.2.1: icmp_seq=1 ttl=255 time=0.471 ms
Вопрос: какой адрес писать в команде ifconfig gre0 tunnel <мой_ip> <провайдер>
- внешний адрес (адрес роутера) или адрес машины во внутренней сети (192.168.1.254) ?
Ответ: коммандой ifconfig gre0 tunnel задается 1. адрес интерфейса, на который будут приходить пакеты gre для твоей машины; 2 адрес машины на который будут отправляться gre пакеты с твоей машины.
Сколько с d-link`ами работаю не видел ни разу что бы где-то настраивался проброс gre за nat, вряд ли это вообще возможно. Думается при такой постановке задачи единствено возможный вариант - это перевести adsl роутер в режим моста и соединение с провайдером терминировать на freebsd, тогда с gre тунелем будет проще.
Re: Помогите с GRE за NAT
Добавлено: 2008-10-12 0:53:01
paradox
тег [ code ] поюзать не хочешь?
Re: Помогите с GRE за NAT
Добавлено: 2008-10-12 13:54:15
lexa_kiev
После двух дней секса с dlink+gre хорошего мало. Хотя, для тренировки, подымал gre туннель внутри локалки - работает (три команды, ошибится трудно...). Потом стал пробовать внутри Укртелекома - на другой машине тоже ADSL модем, но в режиме моста. На ней и смотрю приходящий трафик от настраиваемой машины с BSD. Я надеялся, что хотя бы исходящий gre трафик будет выходить за тот dlink беспрепятсвенно (не по туннелю машины видят друг-друга, пинг, ссш и т.п.). Однако я его не вижу и это самое непонятное (анализатор следит за езернет интерфейсом от модема-моста). Непонятно все ж у него устроено, неужели для пропуска им gre необходим предшествующий pptp трафик?
Завтра переведу его в режим моста, посмотрю что получится.
P.S.: Почитал разные форумы, вроде в Paradyne 6212 есть настройка проброса протокола GRE на внутренний IP. Если у кого такой модем есть, отзовитесь плиз.
Re: Помогите с GRE за NAT
Добавлено: 2008-10-14 17:04:57
lexa_kiev
Проверил в режиме моста - работает, GRE ходит. То есть в режиме роутера модем (D-link 2500U/BRU/D) режет IP GRE, даже если комп в DMZ. Надо было его сразу выбросить...
Re: Помогите с GRE за NAT
Добавлено: 2009-03-25 1:29:28
антон
все тоже самое происходило и со мной )) кошмар... те же несколько дней секса и те же мысли...
Re: Помогите с GRE за NAT
Добавлено: 2013-11-08 7:01:38
CTOPMbI4
hizel писал(а):я уже неоднократно ругался на этот высер майкрософтовской мысли
этап инициации проходит через 1723 порт tcp
потом данные несутся через GRE
ну а GRE через nat проходят только через костыли
в линуксе это доп модулек
в natd и libalias оно уже внедерено по умолчанию
Тема конечно давнишняя. Но все же поделитесь костылями на фряхе в pptp
Re: Помогите с GRE за NAT
Добавлено: 2013-11-12 10:27:38
Гость
gre за натом проходит только для одного пользователя,
для других будет Ж
задавать нужно вопросы по существу
Re: Помогите с GRE за NAT
Добавлено: 2013-11-21 19:57:58
VladVan
Есть гдето в портах "Frickin PPTP Proxy" , через него удалось как то давным давно запустить несколько pptp клиентов за одним натом к разным серверам одновременно.