Страница 1 из 2
Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 12:33:05
Popengui19
Люди спасите специфическая трабла – горю!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Поднял шлюз в офисе 2 на freebsd 6.3 по статье
http://www.linuxcenter.ru/lib/articles/ ... etup.phtml
Все работает отлично.
Проблема вот в чем, в офисе 1 стоит виндовый шлюз на kerio (времени нет пересобрать на free по скольку в фре чайник) на этом Kerio поднят VPN-сервак, kerio vpn client отовсюду конектится из вне на ура и все работает!!!
Как открыть этого клиента из локалки офиса 2 (который на free6_3 – ipfw - squid)???
По умолчанию сервис Kerio VPN определен для протоколов TCP и UDP, порт 4090
Для ipfw сделал правило:
Не конектит.
Что я
пропустил/несделал\незнал\забыл????!!!!
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 12:36:01
Alex Keda
читать про синтаксис.
вы правило добавили сномером 4900 а не портом
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 12:37:23
paradox
никогда не юзал такого клиента
но думаю вас нужно запустить tcdump и посмотреть на какие порты пытаеться щимиться это чудо
и открыть их
хотя непонятно как у вас там интернет вообще работает
юзеры должны с сети нормально ходить в нет
тогда им все видно будет
хотя там может быть другая проблема
в виндового сервера не белый ипи
и его невидно ссети
ну и куча других проблем
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 12:53:49
Popengui19
lissyara писал(а):читать про синтаксис.
вы правило добавили сномером 4900 а не портом
ок исправил
Код: Выделить всё
add 5500 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80,21,443,4090
всеравно не пускает...
paradox писал(а):никогда не юзал такого клиента
но думаю вас нужно запустить tcdump и посмотреть на какие порты пытаеться щимиться это чудо
и открыть их
хотя непонятно как у вас там интернет вообще работает
юзеры должны с сети нормально ходить в нет
тогда им все видно будет
хотя там может быть другая проблема
в виндового сервера не белый ипи
и его невидно ссети
ну и куча других проблем
через любой другой инет (макдачный вайфай и дома и везде kerio VPN client работает и конектится), а тут нет:
ошибка выскакивает сразу причем говорит
проверьте подключение к сети
- остальной инет пашет нормально, вот конфиг
Код: Выделить всё
#
# /etc/firewall.sh
#
#!/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add 1000 pass all from any to any via lo0
/sbin/ipfw add 1100 deny all from any to 127.0.0.0/8
/sbin/ipfw add 1200 deny icmp from any to any frag
/sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin
/sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
/sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
/sbin/ipfw add 4000 deny udp from any 137-139 to any via vr0
#/sbin/ipfw add 4090 allow all from any to any
/sbin/ipfw add 4100 deny udp from any to any 137-139 via vr0
/sbin/ipfw add 5000 divert natd ip from 192.168.1.0:255.255.255.0 to any out xmit re0
/sbin/ipfw add 5100 divert natd ip from any to XXX.XXX.XXX.XXX
#/sbin/ipfw add 5200 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80
/sbin/ipfw add 5500 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80,21,443,4090
/sbin/ipfw add 6000 allow all from any to any
#/sbin/ipfw add 4090 allow all from any to any
Помогите плиз...
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 13:04:40
manefesto
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 14:00:26
Popengui19
Все конечно хорошо, а если в rc.conf файрвол открытым сделать
должно по идее конектиться???
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 14:08:47
manefesto
да
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 17:20:29
Popengui19
Блин, нарооооод, спасайте!!!!
Ну что я сделал не так, всю хандбуку изучил вот до чего дошел
Код: Выделить всё
#
# /etc/firewall.sh
#
#!/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add 1000 pass all from any to any via lo0
/sbin/ipfw add 1100 deny all from any to 127.0.0.0/8
/sbin/ipfw add 1200 deny icmp from any to any frag
/sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin
/sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
/sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
[b]/sbin/ipfw add 3000 allow tcp from any to any 4090 via vr0
/sbin/ipfw add 3100 allow udp from any to any 4090 via vr0
/sbin/ipfw add 3200 allow tcp from any to any 4090 via re0
/sbin/ipfw add 3300 allow udp from any to any 4090 via re0
/sbin/ipfw add 3400 allow tcp from any to any 1907 via vr0
/sbin/ipfw add 3500 allow udp from any to any 1907 via vr0
/sbin/ipfw add 3600 allow tcp from any to any 1907 via re0
/sbin/ipfw add 3700 allow udp from any to any 1907 via re0[/b]
/sbin/ipfw add 4000 deny udp from any 137-139 to any via vr0
/sbin/ipfw add 4100 deny udp from any to any 137-139 via vr0
/sbin/ipfw add 5000 divert natd ip from 192.168.1.0:255.255.255.0 to any out xmit re0
/sbin/ipfw add 5100 divert natd ip from any to XXX.XXX.XXX.XXX
#/sbin/ipfw add 5200 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80
/sbin/ipfw add 5500 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80,21,443
/sbin/ipfw add 6000 allow all from any to any
жирным отмечены порты по которым он по tcpdump-у фигачит...
tcpdump при прозрачной проксе: шпарит на два порта 4090 и 1907
а при включеном /etc/firewall.sh вообще хрень показывает:
Код: Выделить всё
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
18:08:09.703333 IP localhost.2084 > YYYYYYYYYY.online.ptt.net.4090: S 3602106682:3602106682(0) win 65535 <mss 1460,nop,nop,sackOK>
18:08:10.253750 IP XXX.XXX.XXX.XXX.49404 > ns.co.ru.domain: 46453+ PTR? 152.39.147.213.in-addr.arpa. (45)
18:08:10.287215 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.49404: 46453 1/7/11 (497)
18:08:10.287470 IP XXX.XXX.XXX.XXX.60185 > ns.co.ru.domain: 46454+ PTR? 62.3.168.192.in-addr.arpa. (43)
18:08:10.307181 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.60185: 46454* 1/1/1 (105)
18:08:11.306550 IP XXX.XXX.XXX.XXX.51809 > ns.co.ru.domain: 46455+ PTR? 10.128.85.194.in-addr.arpa. (44)
18:08:11.327282 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.51809: 46455 1/3/3 (176)
18:08:11.327459 IP XXX.XXX.XXX.XXX.60552 > ns.co.ru.domain: 46456+ PTR? XXX.XXX.XXX.XX.in-addr.arpa. (44)
18:08:11.347273 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.60552: 46456 NXDomain 0/1/0 (102)
18:08:12.559989 IP localhost.2084 > YYYYYYYYYY.online.ptt.net.4090: S 3602106682:3602106682(0) win 65535 <mss 1460,nop,nop,sackOK>
18:08:18.595273 IP localhost.2084 > YYYYYYYYYY.online.ptt.net.4090: S 3602106682:3602106682(0) win 65535 <mss 1460,nop,nop,sackOK>
18:08:33.604332 IP ZZZ.ZZZ.ZZZ.ZZZ.https > XXX.XXX.XXX.XXX.55210: P 1815127390:1815127629(239) ack 1758337136 win 16384
18:08:33.704419 IP XXX.XXX.XXX.XXX.55210 > 64.12.28.149.https: . ack 239 win 65535
18:08:34.347562 IP XXX.XXX.XXX.XXX.57596 > ns.co.ru.domain: 46457+ PTR? 149.28.12.64.in-addr.arpa. (43)
18:08:34.366410 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.57596: 46457 NXDomain 0/1/0 (114)
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 17:34:04
paradox
выгрузите нахрен фаервол ipfw
загрузите ipfilter
пропишите одной человеческой строкой map для ната
и все у вас заработает
и никогда не используйте того чего не понимаете
фаер сами придумали?
если нет снесите все правила
и пропишите токо те что вы точно знаете как работают
а на будущее ставте логамоунт в конец что бы видеть что и где у вас отбиваеться
меня учили токо одним ответом man man
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 17:41:08
Popengui19
paradox писал(а):выгрузите нахрен фаервол ipfw
загрузите ipfilter
пропишите одной человеческой строкой map для ната
и все у вас заработает
и никогда не используйте того чего не понимаете
фаер сами придумали?
если нет снесите все правила
и пропишите токо те что вы точно знаете как работают
а на будущее ставте логамоунт в конец что бы видеть что и где у вас отбиваеться
меня учили токо одним ответом man man
спООсибОО за совет, буду дальше анус рвать...
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 17:55:03
paradox
Код: Выделить всё
18:08:12.559989 IP localhost.2084 > YYYYYYYYYY.online.ptt.net.4090: S 3602106682:3602106682(0) win 65535 <mss 1460,nop,nop,sackOK>
одни запросы на сетап
а в ответ тишина
вот и разберитесь
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 18:19:33
ProFTP
нихрена не понял, ты навреное хрнеово vpn сделал!
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 18:32:37
Popengui19
ProFTP писал(а):нихрена не понял, ты навреное хрнеово vpn сделал!
как так хреного, если с OPEN проксей все работает...
paradox писал(а):одни запросы на сетап
а в ответ тишина
вот и разберитесь
Всмысле запросы на сетап??? Поясни плз.
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 18:37:50
paradox
всмысле сходить на книжный рынок и купить книгу по сетям!!
Код: Выделить всё
/sbin/ipfw add 1200 deny icmp from any to any frag
/sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin
/sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
/sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
нахрена это делать если несоображаешь что это такое?!?
протокол tcp так работает
что отправляет пакет с флагом Setup на установку соединение с хостом
на что хост ему отвечает другим пакетом Ack
у тебя ответа нет
удаленный хост молчит
вариант пакет не проходит через твой фаер
либо удаленному хосту наплевать на тебя
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 18:43:18
ProFTP
Popengui19, как вы vpn делали?
попробуйте прокси сделать...
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 18:55:46
Popengui19
paradox писал(а):всмысле сходить на книжный рынок и купить книгу по сетям!!
Код: Выделить всё
/sbin/ipfw add 1200 deny icmp from any to any frag
/sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin
/sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
/sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
нахрена это делать если несоображаешь что это такое?!?
протокол tcp так работает
что отправляет пакет с флагом Setup на установку соединение с хостом
на что хост ему отвечает другим пакетом Ack
у тебя ответа нет
удаленный хост молчит
вариант пакет не проходит через твой фаер
либо удаленному хосту наплевать на тебя
Охренеть
блин, то что пакет не проходит это и так ясно (удаленному не наплевать точно, т.к. с прокси=OPEN все пашет)
вот рабочий дамп при прозрачной прокси:
Код: Выделить всё
# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
...вышлю кому интересно...
вопрс в том как зделать так чтоб проходило
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 19:04:46
Popengui19
А вообще, как я понял kerio vpn client судя по дампу один порт использует по дефолту а остальные берет произвольные... гы ...
и что млин делать хз...
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-19 19:11:28
paradox
купить книгу по сетям
так все vpn работают
сервак на одном порту
а клиент на любом
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-20 4:51:35
Div
Попробуй ч/з прокси тип коннект на твой сервер ВПН открыть и по ТСР законетиться клиентом... по крайней мере ОпенВИПИН клиент по ТСР так ходит...
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-20 11:18:36
Popengui19
Div писал(а):Попробуй ч/з прокси тип коннект на твой сервер ВПН открыть и по ТСР законетиться клиентом... по крайней мере ОпенВИПИН клиент по ТСР так ходит...
Я думаю прокся тут не причем дело в файрволе (при открытом фаере все конектится).
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-20 11:22:23
Popengui19
paradox писал(а):купить книгу по сетям
так все vpn работают
сервак на одном порту
а клиент на любом
Книга по сетям это хорошо, спасибо за совет...
не могу только понять как реализовать..
получается мне в исходящей секции надо хреначить TCP и UDP порт 4090, а во входящей по всем портам с ip vpn-сервера???
Не подскажешь формат последней записи?
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-20 11:26:55
manefesto
ты статьи читал ?
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-20 11:30:29
paradox
зачем статьи)
ему нужно что бы оно заработало и все
надо бы в него линком про ipfw пульнуть
о том как он устроен и его логику
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-20 11:45:56
manefesto
может ему тупо сюда копи пастом всю статью выложить...
Блин...второй тропик...
Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client
Добавлено: 2008-06-20 11:48:14
Popengui19
manefesto писал(а):ты статьи читал ?
Читал, все правила переделал, повторяюсь, немогу врубиться только в две вещи:
1 - В нумерации правил в IPFW важен только порядок (всмысле они обробатываются по порядку) или еще что-то???
2 -
Код: Выделить всё
360 allow udp from x.x.x.x to any any in via vr0 keep-state
365 allow tcp from x.x.x.x to any any in via vr0 keep-state
где x.x.x.x - это адрес VPN-сервера
должно пропускать с адреса x.x.x.x все пакеты???
(Прошу прощения за дотошность... просто времени очень мало а в то что я сумел врубиться не работает и гуру под рукой нет а ставить виндовый шлюз не хочу т.к. все равно придется все переделывать только потом...)