URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 60919
[ Назад ]

Исходное сообщение
"Firewall, UDP, vtund"

Отправлено arriah , 14-Окт-05 10:57 
Есть две сети.
1-ая сеть 192.168.50.0/24
2-ая сеть 192.168.51.0/24
В каждой из них инет раздается FreeBSD 4.8 NAT не поднят.
Между собой FreeBSD связаны тунелем (vtund)

Во второй сети поставил еще один комп с FreeBSD 5.4 (без firewall, NAT), на нем запустил игровой сервер call of duty.
C локалки 192.168.51.0/24 - к этому серваку (192.168.51.51) клиенты нормально коннектятся и играют. Но с первой локалки (192.168.50.0/24) не могут соединится с сервером (192.168.51.51)
netstat -an показывает что udp4 прослушивается на порту 28960

Не подскажите, как соединить первую локалку (192.168.50.0/24) с игровым сервером 192.168.51.51?

Заранее спасибо.


Содержание

Сообщения в этом обсуждении
"Firewall, UDP, vtund"
Отправлено edwin , 14-Окт-05 11:38 
>Есть две сети.
>1-ая сеть 192.168.50.0/24
>2-ая сеть 192.168.51.0/24
>В каждой из них инет раздается FreeBSD 4.8 NAT не поднят.
>Между собой FreeBSD связаны тунелем (vtund)
>
>Во второй сети поставил еще один комп с FreeBSD 5.4 (без firewall,
>NAT), на нем запустил игровой сервер call of duty.
>C локалки 192.168.51.0/24 - к этому серваку (192.168.51.51) клиенты нормально коннектятся и
>играют. Но с первой локалки (192.168.50.0/24) не могут соединится с сервером
>(192.168.51.51)
>netstat -an показывает что udp4 прослушивается на порту 28960
>
>Не подскажите, как соединить первую локалку (192.168.50.0/24) с игровым сервером 192.168.51.51?
>
>Заранее спасибо.

Давайте танцевать от печки.;)
1) Проверяем вомможность проходения пакетов из 192.168.50.0/24 в 192.168.51.0/24
Причем проверяем с помощью traceroute.
То есть смотрим пакетные фильтры.на обоих серваках
2) Смотрим на то, какой размер пакетов пропускает туннель (MTU).
3) Смотрим настройки клиентов в 192.168.50.0/24.
В них должен быть правильно указан defaul router



"Firewall, UDP, vtund"
Отправлено edwin , 14-Окт-05 11:42 
>>Есть две сети.
>>1-ая сеть 192.168.50.0/24
>>2-ая сеть 192.168.51.0/24
>>В каждой из них инет раздается FreeBSD 4.8 NAT не поднят.
>>Между собой FreeBSD связаны тунелем (vtund)
>>
>>Во второй сети поставил еще один комп с FreeBSD 5.4 (без firewall,
>>NAT), на нем запустил игровой сервер call of duty.
>>C локалки 192.168.51.0/24 - к этому серваку (192.168.51.51) клиенты нормально коннектятся и
>>играют. Но с первой локалки (192.168.50.0/24) не могут соединится с сервером
>>(192.168.51.51)
>>netstat -an показывает что udp4 прослушивается на порту 28960
>>
>>Не подскажите, как соединить первую локалку (192.168.50.0/24) с игровым сервером 192.168.51.51?
>>
>>Заранее спасибо.
>
>Давайте танцевать от печки.;)
>1) Проверяем вомможность проходения пакетов из 192.168.50.0/24 в 192.168.51.0/24
>Причем проверяем с помощью traceroute.
>То есть смотрим пакетные фильтры.на обоих серваках
>2) Смотрим на то, какой размер пакетов пропускает туннель (MTU).
>3) Смотрим настройки клиентов в 192.168.50.0/24.
>В них должен быть правильно указан defaul router

В догонку:
на обоих роутерах:
в rc.conf:
gateway_enable="YES"
В консоли:
sysctl -w net.inet.ip.forwarding="1"
И добавляем на обих серваках статические роуты в подсети.


"Firewall, UDP, vtund"
Отправлено arriah , 14-Окт-05 11:50 
>В догонку:
>на обоих роутерах:
>в rc.conf:
>gateway_enable="YES"

Есть такое дело.

>В консоли:
>sysctl -w net.inet.ip.forwarding="1"

А это для чего?

>И добавляем на обих серваках статические роуты в подсети.

Можно поподробнее?



"Firewall, UDP, vtund"
Отправлено Simps , 14-Окт-05 12:27 
>>>Есть две сети.
>>>1-ая сеть 192.168.50.0/24
>>>2-ая сеть 192.168.51.0/24
>>>В каждой из них инет раздается FreeBSD 4.8 NAT не поднят.
>>>Между собой FreeBSD связаны тунелем (vtund)
>>>
>>>Во второй сети поставил еще один комп с FreeBSD 5.4 (без firewall,
>>>NAT), на нем запустил игровой сервер call of duty.
>>>C локалки 192.168.51.0/24 - к этому серваку (192.168.51.51) клиенты нормально коннектятся и
>>>играют. Но с первой локалки (192.168.50.0/24) не могут соединится с сервером
>>>(192.168.51.51)
>>>netstat -an показывает что udp4 прослушивается на порту 28960
>>>
>>>Не подскажите, как соединить первую локалку (192.168.50.0/24) с игровым сервером 192.168.51.51?
>>>
>>>Заранее спасибо.
>>
>>Давайте танцевать от печки.;)
>>1) Проверяем вомможность проходения пакетов из 192.168.50.0/24 в 192.168.51.0/24
>>Причем проверяем с помощью traceroute.
>>То есть смотрим пакетные фильтры.на обоих серваках
>>2) Смотрим на то, какой размер пакетов пропускает туннель (MTU).
>>3) Смотрим настройки клиентов в 192.168.50.0/24.
>>В них должен быть правильно указан defaul router
>
>В догонку:
>на обоих роутерах:
>в rc.conf:
>gateway_enable="YES"
>В консоли:
>sysctl -w net.inet.ip.forwarding="1"
Если есть gateway_enable это sysctl явно попусту ...
>И добавляем на обих серваках статические роуты в подсети.



"Firewall, UDP, vtund"
Отправлено edwin , 14-Окт-05 12:46 
>>sysctl -w net.inet.ip.forwarding="1"
>Если есть gateway_enable это sysctl явно попусту ...

Нет.
Передположим что у тебя было в rc.conf
gateway_enable="NO"
Тупое редакрирование rc.conf не поможет.
После него и надо sysctl'ем включить ;))


"Firewall, UDP, vtund"
Отправлено arriah , 14-Окт-05 11:47 
>Давайте танцевать от печки.;)
Давай :-)

>1) Проверяем вомможность проходения пакетов из 192.168.50.0/24 в 192.168.51.0/24
>Причем проверяем с помощью traceroute.
traceroute to 192.168.51.51 (192.168.51.51), 64 hops max, 44 byte packets
traceroute: sendto: Permission denied

Я так понимаю дело в ipfw?

>2) Смотрим на то, какой размер пакетов пропускает туннель (MTU).

1500

>3) Смотрим настройки клиентов в 192.168.50.0/24.
>В них должен быть правильно указан defaul router

В настройках клиентов - default router и DNS стоит 192.168.50.1



"Firewall, UDP, vtund"
Отправлено edwin , 14-Окт-05 12:16 
>>Давайте танцевать от печки.;)
>Давай :-)
>
>>1) Проверяем вомможность проходения пакетов из 192.168.50.0/24 в 192.168.51.0/24
>>Причем проверяем с помощью traceroute.
>traceroute to 192.168.51.51 (192.168.51.51), 64 hops max, 44 byte packets
>traceroute: sendto: Permission denied
>
>Я так понимаю дело в ipfw?

Ты понимаеш верно(если у тебя юзаеться ipfw, у меня к примеру часто pf юзаеться).
Разреши прохождение пакетов в соот. сеть.

>
>>2) Смотрим на то, какой размер пакетов пропускает туннель (MTU).
>
>1500

Ok.

>
>>3) Смотрим настройки клиентов в 192.168.50.0/24.
>>В них должен быть правильно указан defaul router
>
>В настройках клиентов - default router и DNS стоит 192.168.50.1

OK.

Статические роуты
на сервере 1:
route add -net 192.168.51.0 IP_сервера_2 255.255.255.0
на сервере 2:
route add -net 192.168.50.0 IP_сервера_1 255.255.255.0


"Firewall, UDP, vtund"
Отправлено arriah , 14-Окт-05 12:44 

>Ты понимаеш верно(если у тебя юзаеться ipfw, у меня к примеру часто
>pf юзаеться).
>Разреши прохождение пакетов в соот. сеть.

Если не трудно, напиши пример такого правила.
Или хотябы теорию их написания применимо к моей ситуации.



"Firewall, UDP, vtund"
Отправлено edwin , 14-Окт-05 12:54 
>
>>Ты понимаеш верно(если у тебя юзаеться ipfw, у меня к примеру часто
>>pf юзаеться).
>>Разреши прохождение пакетов в соот. сеть.
>
>Если не трудно, напиши пример такого правила.
>Или хотябы теорию их написания применимо к моей ситуации.

ipfw add 1 allow ip from 192.168.50.0/24 to 192.168.51.0/24
ipfw add 1 allow ip from 192.168.51.0/24 to 192.168.50.0/24


"Firewall, UDP, vtund"
Отправлено arriah , 14-Окт-05 13:12 
>
>ipfw add 1 allow ip from 192.168.50.0/24 to 192.168.51.0/24
>ipfw add 1 allow ip from 192.168.51.0/24 to 192.168.50.0/24

пробовал так делать. И правила ставил первыми. И указывал через какой интерфейс пакетам ходить.
Не помогает. Пишет Permission denied.


"Firewall, UDP, vtund"
Отправлено edwin , 14-Окт-05 13:25 
>>
>>ipfw add 1 allow ip from 192.168.50.0/24 to 192.168.51.0/24
>>ipfw add 1 allow ip from 192.168.51.0/24 to 192.168.50.0/24
>
>пробовал так делать. И правила ставил первыми. И указывал через какой интерфейс
>пакетам ходить.
>Не помогает. Пишет Permission denied.

а что показывает ipfw -a list ?
У тебя кроме ipfw никаких там firewall'ов не включено ?


"Firewall, UDP, vtund"
Отправлено arriah , 14-Окт-05 13:43 
>а что показывает ipfw -a list ?

00001    674    34414 allow ip from 192.168.50.0/24 to 192.168.51.0/24
00100   6254  1156674 count ip from any to _REAL_IP_in recv xl0
00200    196   266391 count tcp from any to _REAL_IP_ 25 in recv xl0
00510   3834  5188646 pipe 1 tcp from any to _REAL_IP_ 25 via xl0
00520   1338  1881606 pipe 1 tcp from _REAL_IP_ to any 25 via xl0
01010   4730   566036 allow ip from any to any via lo0
01020      0        0 deny ip from any to 127.0.0.0/8
01030      0        0 deny ip from 127.0.0.0/8 to any
01040 148573 78163770 allow ip from 192.168.51.0/24 to 192.168.51.0/24 via xl1
01050      0        0 deny ip from 192.168.51.0/24 to any in recv xl0
01060      0        0 deny ip from 213.247.226.0/24 to any in recv xl1
01070      0        0 deny ip from any to 10.0.0.0/8 via xl0
01080     16     1771 deny ip from any to 172.16.0.0/12 via xl0
01090      0        0 deny ip from any to 192.168.0.0/16 via xl0
01100      0        0 deny ip from 10.0.0.0/8 to any via xl0
01110      0        0 deny ip from 172.16.0.0/12 to any via xl0
01120      0        0 deny ip from 192.168.0.0/16 to any via xl0
01130      0        0 deny ip from any to 0.0.0.0/8 via xl0
01140      0        0 deny ip from any to 169.254.0.0/16 via xl0
01150      0        0 deny ip from any to 192.0.2.0/24 via xl0
01160      0        0 deny ip from any to 224.0.0.0/4 via xl0
01170     54     4072 deny ip from any to 240.0.0.0/4 via xl0
01180      0        0 deny ip from 0.0.0.0/8 to any via xl0
01190      0        0 deny ip from 169.254.0.0/16 to any via xl0
01200      0        0 deny ip from 192.0.2.0/24 to any via xl0
01210      0        0 deny ip from 224.0.0.0/4 to any via xl0
01220      0        0 deny ip from 240.0.0.0/4 to any via xl0
01230 374120 70568571 allow tcp from any to any established
01240      0        0 allow ip from any to any frag
04640     34     1748 allow tcp from any to _REAL_IP_ 25 in recv xl0 setup
04650      0        0 allow tcp from any to _REAL_IP_ 110 in recv xl0 setup
04660      2      112 allow icmp from any to _REAL_IP_ in recv xl0 icmptype 0,3,4,11,12
04670      3      168 allow icmp from _REAL_IP_ to any out xmit xl0 icmptype 3,8,12
04680      0        0 allow icmp from _REAL_IP_ to any out xmit xl0 frag
04690    142    11004 deny log logamount 200 icmp from any to any in recv xl0
04700      0        0 deny udp from any to _REAL_IP_ 53 in recv xl0
04710   1432   112506 deny udp from any 137 to any in recv xl0
04720      0        0 deny udp from any to any 137 in recv xl0
04730    286    60225 deny udp from any 138 to any in recv xl0
04740      0        0 deny udp from any 513 to any in recv xl0
04750      0        0 deny udp from any 525 to any in recv xl0
04760    304    21859 allow udp from _REAL_IP_ to any out xmit xl0
04770    301    42879 allow udp from any to _REAL_IP_ in recv xl0
04780     26     1280 deny log logamount 200 tcp from any to any in recv xl0 setup
04790    403    23924 allow tcp from any to any setup
65535  11841   664431 deny ip from any to any

>У тебя кроме ipfw никаких там firewall'ов не включено ?

Больше ничего не включено. Правда работает еще squid.
А такие сервисы как ssh, ftp - работаю нормально.


"Firewall, UDP, vtund"
Отправлено edwin , 14-Окт-05 19:00 
>>а что показывает ipfw -a list ?
>
>00001    674    34414 allow ip from
>192.168.50.0/24 to 192.168.51.0/24
>00100   6254  1156674 count ip from any to _REAL_IP_in
>recv xl0

Ты читать умееш ?
У тебя 1-е правило пропускает пакеты из 192.168.50.0/24 в 192.168.51.0/24, но в обратном направлнениии - никак
Еще раз повторяю:
# это уже есть
ipfw add 1 allow ip from 192.168.50.0/24 to 192.168.51.0/24
# и еще одно
ipfw add 1 allow ip from 192.168.51.0/24 to 192.168.50.0/24
Только тогда оно будет работать


"Firewall, UDP, vtund"
Отправлено Гость , 15-Окт-05 19:15 
А что VTUND работает не через TUN ?
У TUNA свои адреса (точки гейтования) должны быть. Вот роуты через них и должны быть нарисованы.

"Firewall, UDP, vtund"
Отправлено Гость , 15-Окт-05 19:18 
>А что VTUND работает не через TUN ?
>У TUNA свои адреса (точки гейтования) должны быть. Вот роуты через них
>и должны быть нарисованы.

OK.

Статические роуты
на сервере 1:
route add -net 192.168.51.0 IP_сервера_2 255.255.255.0
на сервере 2:
route add -net 192.168.50.0 IP_сервера_1 255.255.255.0

IP_сервера_2 и IP_сервера_1  - фактически должны быть точками туннеля VTUND, а не адресами сетевых карт.

Если хочешь точнее - ifconfig -a  и netstat -rn - в студию. Полные. Необкусанные.


"Firewall, UDP, vtund"
Отправлено Solo_Wolf , 16-Окт-05 00:09 
>Есть две сети.
>1-ая сеть 192.168.50.0/24
>2-ая сеть 192.168.51.0/24
>В каждой из них инет раздается FreeBSD 4.8 NAT не поднят.
>Между собой FreeBSD связаны тунелем (vtund)
>
>Во второй сети поставил еще один комп с FreeBSD 5.4 (без firewall,
>NAT), на нем запустил игровой сервер call of duty.
>C локалки 192.168.51.0/24 - к этому серваку (192.168.51.51) клиенты нормально коннектятся и
>играют. Но с первой локалки (192.168.50.0/24) не могут соединится с сервером
>(192.168.51.51)
>netstat -an показывает что udp4 прослушивается на порту 28960
>
>Не подскажите, как соединить первую локалку (192.168.50.0/24) с игровым сервером 192.168.51.51?
>
>Заранее спасибо.


Хорошо бы вначале вам почитать азы по маршрутизации, но попробую пояснить.

Сеть 192.168.51.0/24 - все машины соединяются с ней потому, что у каждой машины есть маршрут до сервера 192.168.52.51. Но этот сервер не знает, что сеть 192.168.50.0/24 находится в направлении gateway, который создал вам vtund. Вы не привели конфигурацию vtun, но она не сильно нужна пока. Vtun вам создал соединение точка-точка и добавил эти адреса в таблице маршрутизации. Но vtun вам не добавил, что сеть 192.168.50.0/24 находится на другом конце vtun. Т.е. надо добавить route add -net 192.168.50.0/24 ADR_на_другого_конца_vtun. Для другого сервера сделать аналогичную настройку, только ADR_на_другого_конца_vtun нужен другого конца. (коряво... но понять можно)

И еще одно... Если у компьютеров из сети 192.168.50.0/24 default gateway не адрес сервера на котором поднят vtun, то тогда на компе с адресом default gateway надо добавить маршрут сети 192.168.51.0/24, где gateway будет адрес сервера, где поднят vtun.