Не смог найти путного ответа на мои терзания...интерфейсы сетевые 10.0.0.1 fxp0, 10.1.30.111 wi0
mpd работает и клиентом и сервером vpn одновременно
клиентский интерфейс ng0 коннектится к прову и получает от прова адрес 10.2.8.172для клиентов описаны интерфейсы ng1-ng50
раздаются адреса начиная с 10.2.1.1 по 10.2.1.254ng0 работает, хожу в тырнет с сервера без проблем.
клиенты коннектятся, соединение исправно работает. только вот клиенты никуда не могут пойти.
предположительно в фаерволе намутил с дивертами или ещё чем -то
выручайте
вот кусок фаера...
00400 allow tcp from 10.0.0.0/24 to 10.0.0.1 dst-port 1723 via fxp0
00410 allow tcp from 10.0.0.1 1723 to 10.0.0.0/24 via fxp0
00450 allow gre from 10.0.0.0/24 to 10.0.0.1 via fxp0
00460 allow gre from 10.0.0.1 to 10.0.0.0/24 via fxp0
04010 deny log ip from any to any via fxp0
04500 allow ip from any to any via lo0
04510 deny ip from any to 127.0.0.0/8
04520 deny ip from 127.0.0.0/8 to any
05000 divert 8668 ip from any to 10.2.8.172 in recv ng0
05000 divert 8668 ip from 10.2.1.0/24 to any out xmit ng0
06000 allow ip from any to any
что не так?
>04010 deny log ip from any to any via fxp0
>04500 allow ip from any to any via lo0
>04510 deny ip from any to 127.0.0.0/8
>04520 deny ip from 127.0.0.0/8 to any
>05000 divert 8668 ip from any to 10.2.8.172 in recv ng0
>05000 divert 8668 ip from 10.2.1.0/24 to any out xmit ng0
>06000 allow ip from any to anyКак я понял, vpn отдает клиенту апи из 10.2.1.0/24 сетки и ходят эти пакеты через fxp0 интерфейс, а правило 4010 блокирует эти пакетики и до ната они не доходят
>>04010 deny log ip from any to any via fxp0
>>04500 allow ip from any to any via lo0
>>04510 deny ip from any to 127.0.0.0/8
>>04520 deny ip from 127.0.0.0/8 to any
>>05000 divert 8668 ip from any to 10.2.8.172 in recv ng0
>>05000 divert 8668 ip from 10.2.1.0/24 to any out xmit ng0
>>06000 allow ip from any to any
>
>Как я понял, vpn отдает клиенту апи из 10.2.1.0/24 сетки и ходят
>эти пакеты через fxp0 интерфейс, а правило 4010 блокирует эти пакетики
>и до ната они не доходят
проанализировал движения пакетов в фаерволе. попросту правила заворачивания на нат не срабатывают. должно быть неверно описаны...помогите пожалуйста с этими правилами
>05000 divert 8668 ip from any to 10.2.8.172 in recv ng0
05000 divert 8668 ip from not 10.0.0.0/16 to 10.0.0.0/16 in recv ng0>05000 divert 8668 ip from 10.2.1.0/24 to any out xmit ng0
05010 divert 8668 ip from 10.2.1.0/24 to not 10.0.0.0/16 out xmit ng0
>
>>05000 divert 8668 ip from any to 10.2.8.172 in recv ng0
>05000 divert 8668 ip from not 10.0.0.0/16 to 10.0.0.0/16 in recv ng0
>
>
>>05000 divert 8668 ip from 10.2.1.0/24 to any out xmit ng0
>05010 divert 8668 ip from 10.2.1.0/24 to not 10.0.0.0/16 out xmit ng0
>
ваши предложения пользы не принесли...
правила ваших дивертов по количеству пакетов нулевые...
>ваши предложения пользы не принесли...
>правила ваших дивертов по количеству пакетов нулевые...Значит пользователи не доходят до интерфейса ng0.
Смотрите свои настройки mpd и таблицу роутинга.
>
>>ваши предложения пользы не принесли...
>>правила ваших дивертов по количеству пакетов нулевые...
>
>Значит пользователи не доходят до интерфейса ng0.
>Смотрите свои настройки mpd и таблицу роутинга.
проблема была в rc.conf
нужен был gateway_enable="YES"
)))
всем спасибо за помощь и поддержку
Блин, ребята. Картина распространенная и нужная. Давайте поможем человеку создать ВСЕ НЕОБХОДИМЫЕ правила для ipfw, чтобы работал только шлюз. Без сквида, без httpd и др. Просто набор правил, прозволяющий использовать данную машину как шлюз и подключаться к ней через ssh. Буду очень признателен!