Страница 1 из 1
Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-04 19:40:27
CTOPMbI4
Задача. Дать Возможность пользователям из локалки ходить в инет, через маршрутизатор на основе FreeBSD.
Имеем. Машину на FreeBSD 7.0
На ней 2 интерфейса.
rl0 (10.0.0.0) - Смотрит в сторону Локалки Провайдера.
nfe0 (192.0.0.0) - Смотрит в сторону офисной локалки.
+ ВПН Виртуальный тунель на основе mpd через pptp.
настроен natd.
настроен mpd.
Через rl0 пакеты ходят в локалку и обратно.
А вот через виртуальный интерфейс поднятый демоном mpd пакеты в локалку так и не ходят.
Товарищи комрады как решить данный вопрос?
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-04 19:49:41
tango
Покажите вывод команды netstat -rn
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-04 21:14:20
Гость
Routing tables
Код: Выделить всё
Internet:
Destination Gateway Flags Refs Use Netif Expire
default ng0 US 0 81 ng0
10.8.0.1 10.64.41.1 UGHS 0 263 rl0
10.8.0.8 172.27.250.45 UH 0 0 ng0
10.64.41.0/24 link#2 UC 0 0 rl0
10.64.41.1 00:0d:88:d7:4b:21 UHLW 2 0 rl0 1200
127.0.0.1 127.0.0.1 UH 0 93 lo0
192.168.0.0/24 link#1 UC 0 0 nfe0
192.168.0.255 ff:ff:ff:ff:ff:ff UHLWb 1 22 nfe0
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#6 UHL lo0
ff01:6::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-04 22:17:52
tango
шлюз по умолчанию у компов локальной сети (со стороны nfe0- интерфейса) какой?
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 6:04:32
CTOPMbI4
Виндовые машины стоят в офисе.
настройки в ЛВС.
ип. 192.168.0.0/24
маска 255.255.255.0
шлюз 192.168.0.1
днс 192.168.0.1
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 6:28:39
tango
Для того чтобы выпускать компьютеры своей локальной сети в Интернет, ван нужен NAT или прокси.
Поднимайте что нибудь из этого на своем шлюзе с FreeBSD.
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 7:12:41
CTOPMbI4
Над поднял natd
прописал в rc.conf
natd_enable="YES"
natd_interface="nfe0"
natd_flags=""
поднял 2й нат. Прописал фраймед ип 172.27.250.45 на него выдающийся по ВПН от провайдера.
natd2_enable="YES"
natd2_interface="172.27.250.45"
natd2_flags="-p 8669"
добавил
gateway_enable="YES"
Результат то что через виртуальный интерфейс ng0 пакеты не ходят на локальной машине.
Где ошибка?
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 13:25:08
schizoid
я что-то не совсем понял идею с 2-мя НАТами...
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 13:36:59
manefesto
как вариант у него 3 интерфейса, один смотрит в мир, 2 других в разные сети. Хотя хз....и вправду ...можно обойтись и одни...имхо
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 15:09:53
Гость
интерфейса 2. один смотрит в сеть провайдера rl0 по ЛВС.
вторая nfe0 в сторону локалки офиса.
и ВПН поднимается с помощью mpd виртуальное ng0 с фрэймом ипом 172.27.250.45.
а нат2 чтобы натился вирт. интерфейс ng0.
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 15:17:15
tango
а первый nat у вас что натит локалку прова что ли? Зачем?
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 17:23:47
hizel
Гость писал(а):интерфейса 2. один смотрит в сеть провайдера rl0 по ЛВС.
вторая nfe0 в сторону локалки офиса.
и ВПН поднимается с помощью mpd виртуальное ng0 с фрэймом ипом 172.27.250.45.
а нат2 чтобы натился вирт. интерфейс ng0.
вы ipfw правила прописывали для второго nat-а?
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 20:36:30
Гость
firewall_enable="YES"
firewall_type="OPEN"
А правил собственно вообще нет.
Все прозрачно.
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 20:38:58
Гость
tango писал(а):а первый nat у вас что натит локалку прова что ли? Зачем?
Именно натит локалку провайдера.
А как вы думаете зачем это нужно?
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-05 20:44:50
hizel
Гость писал(а):firewall_enable="YES"
firewall_type="OPEN"
А правил собственно вообще нет.
Все прозрачно.
а с чего вы взяли что в rc.firewall в типе OPEN
предполагается наличие второго ната?
тогда уж, у вас должно быть, что то типа
Код: Выделить всё
ipfw add divert 8669 all from any to 172.27.250.45 in via ng0
ipfw add divert natd all from any to 10.x.x.x in via rl0
ipfw add divert 8669 all from any to any out via ng0
ipfw add divert natd all from any to any out via rl0
кроме всего прочего
Пы.Сы. правила у вас должны быть, иначе natd не работает
ipfw show гляньте
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-06 9:37:16
schizoid
ну или ipnat-ом сделать...
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-06 9:44:49
hizel
или pf накрутить
или ng_nat внедрить
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-06 9:45:56
schizoid
точна
вариантов масса, главное понимать, что ты делаешь
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-06 18:36:22
tango
Гость писал(а):tango писал(а):а первый nat у вас что натит локалку прова что ли? Зачем?
Именно натит локалку провайдера.
А как вы думаете зачем это нужно?
думаю что не зачем не нужно....
Достаточно прописать статические маршруты в локалку прова.... правда он (пров) тоже должен прописать маршрут в вашу сеть...
Но если пров не вкурсе что к нему ходит целая "посторонняя" локалка, то тогда да.
Вот пример таблици маршрутизации с моего гейта.
Код: Выделить всё
$ netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 194.105.х.х UGS 0 125272 fxp1
127.0.0.1 127.0.0.1 UH 0 0 lo0
192.168.1 link#2 UC 0 0 fxp0
192.168.1.1 00:30:48:35:46:22 UHLW 0 230 fxp0 1171
192.168.3 192.168.1.23 UGS 0 4099 fxp0
192.168.6 192.168.1.28 UGS 0 39198 fxp0
192.168.9 192.168.1.23 UGS 0 5510 fxp0
192.168.10 192.168.99.1 UGS 0 0 xl0
192.168.11 192.168.99.1 UGS 0 11960 xl0
192.168.12 192.168.12.2 UGS 0 109 ng2
192.168.12.2 192.168.1.15 UH 1 541 ng2
192.168.50 192.168.50.1 UGS 0 1561 ng0
192.168.50.1 192.168.1.15 UH 1 658 ng0
192.168.60 192.168.60.1 UGS 0 36057 ng6
192.168.60.1 192.168.1.15 UH 1 276 ng6
192.168.99 link#1 UC 0 0 xl0
192.168.99.1 00:02:b3:3e:8a:68 UHLW 2 0 xl0 429
194.105.х.х/28 link#3 UC 0 0 fxp1
194.105.х.х 00:18:74:1f:6c:40 UHLW 1 0 fxp1 879
как видите - 3 физических интерфейса и 3 mpd-шных...
NAT используется только для выхода в инет...
все подсети доступны друг для друга без проблем.
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-06 19:10:58
hizel
эм я выделяю ключевое
tango писал(а):
Достаточно прописать статические маршруты в локалку прова.... правда он (пров) тоже должен прописать маршрут в вашу сеть...
Но если пров не вкурсе что к нему ходит целая "посторонняя" локалка, то тогда да.
пров должен только то, что накарябанно в договоре
заставить прова прописать обратный маршрут встретит сильное протеводействие админов провайдера
ему лишние маршруты совершенно не нужны
вобщето тут класическая ситуация для русских интернетов
в маршрутизаторах д-линк это так и называется русский НАТ
роутеры с такими прошивками по умолчанию поставляются
аккурат из Китая в Россию
когда есть локалка и pptp\l2tp через туже локалку в интернет
и чтобы были доступны оба ресурса одновременно
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-08 13:10:02
Гость
Столько много что насоветовали парни))
проблему решил.
Убрал 2 нат.
Закинул первый сразу на вирт. интерфейс все пашет.
теперь осталось прикрутить счетчик для подсчета трафика что посоветуете?
Re: Построение шлюза с трансляцией через ВПН
Добавлено: 2008-05-08 13:28:42
zg
ipacctd
zg# make search name=ipacctd
Port: ipacctd-1.47
Path: /usr/ports/net-mgmt/ipacctd
Info: IP accounting using divert socket
Maint:
skv@FreeBSD.org
B-deps:
R-deps:
WWW:
простой, рускоязычный и надёжный