URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 70162
[ Назад ]

Исходное сообщение
"Работает ли форвард во FreeBSD 6.1."
Отправлено sergey , 10-Ноя-06 13:43

Вообщем задача такая
есть сервер с локальным IP подключенный в сеть. Роутинг по дефолту тоже есть.
К нему приходит канал с реальником через tun интерфейс ( средствами vtund) На точке доступа маршрут прописан, арп  все гут :-)
Итак, по дефолту если пмнгуем реальник пакет честно доходит до точки доступа и уходит в тунель а затем сервер пытается уже сделать реплай через дефолтный маршрут и ессно пинг не идет. Для избежания этого  прописал ipfw add fwd TUNEL ip from REAL to any
Где TUNEL - ip на другом конце (точка доступа)
REAL реальник который у меня приходит по тунелю
А теперь самое интересное
ВО FreeBSD 5.1 такая схема прекрасно работает. Если пакет пришел на реальнки по тунелю, в тунель он же и уходит. На FreeBSD 6.1 RELEASE  такая схема не работает. Мало того что каунтер считает, (который в правилах Ipfw) но пакеты продолжают слатся по дефолтному маршруту, что странно :-(
Кто нибудь сталкивался ? Конфигурация практически идентичная.

Содержание

Работает ли форвард во FreeBSD 6.1.,vvvua, 13:51 , 10-Ноя-06
- Работает ли форвард во FreeBSD 6.1.,sergey, 14:06 , 10-Ноя-06
  - Работает ли форвард во FreeBSD 6.1.,sergey, 14:53 , 10-Ноя-06
    - Работает ли форвард во FreeBSD 6.1.,sergey, 15:57 , 10-Ноя-06

Сообщения в этом обсуждении

"Работает ли форвард во FreeBSD 6.1."
Отправлено vvvua , 10-Ноя-06 13:51

>Вообщем задача такая
>
>есть сервер с локальным IP подключенный в сеть. Роутинг по дефолту тоже
>есть.
>К нему приходит канал с реальником через tun интерфейс ( средствами vtund)
>На точке доступа маршрут прописан, арп все гут :-)
>
>Итак, по дефолту если пмнгуем реальник пакет честно доходит до точки доступа
>и уходит в тунель а затем сервер пытается уже сделать реплай
>через дефолтный маршрут и ессно пинг не идет. Для избежания этого
> прописал ipfw add fwd TUNEL ip from REAL to any
пока правильно, но нужно проверить таблицу мршрутизации. Иногда при поднятии туннеля не прописывается маршрут на етот туннель. Кроме того, если етот туннель ppp или подобный - нужы адреса с маской /24. Если на подобие езера - /30.
И пингуется ли при пустой таблице файрвола (без форварда) адрес точки доступа.
>Где TUNEL - ip на другом конце (точка доступа)
>REAL реальник который у меня приходит по тунелю
>
>А теперь самое интересное
>(который в правилах Ipfw) но пакеты продолжают слатся по дефолтному маршруту,
>что странно :-(
Ето скорее всего, что нет прямой видимости адреса TUNEL.
>
>Кто нибудь сталкивался ? Конфигурация практически идентичная.

"Работает ли форвард во FreeBSD 6.1."
Отправлено sergey , 10-Ноя-06 14:06

Как раз с роутингом все нормально. Пакет приходит но не уходит через правила форварда...

>>Вообщем задача такая
>>
>>есть сервер с локальным IP подключенный в сеть. Роутинг по дефолту тоже
>>есть.
>>К нему приходит канал с реальником через tun интерфейс ( средствами vtund)
>>На точке доступа маршрут прописан, арп все гут :-)
>>
>>Итак, по дефолту если пмнгуем реальник пакет честно доходит до точки доступа
>>и уходит в тунель а затем сервер пытается уже сделать реплай
>>через дефолтный маршрут и ессно пинг не идет. Для избежания этого
>> прописал ipfw add fwd TUNEL ip from REAL to any
>
>пока правильно, но нужно проверить таблицу мршрутизации. Иногда при поднятии туннеля не
>прописывается маршрут на етот туннель. Кроме того, если етот туннель ppp
>или подобный - нужы адреса с маской /24. Если на подобие
>езера - /30.
>И пингуется ли при пустой таблице файрвола (без форварда) адрес точки доступа.
>
>
>>Где TUNEL - ip на другом конце (точка доступа)
>>REAL реальник который у меня приходит по тунелю
>>
>>А теперь самое интересное
>>(который в правилах Ipfw) но пакеты продолжают слатся по дефолтному маршруту,
>>что странно :-(
>Ето скорее всего, что нет прямой видимости адреса TUNEL.
>
>>
>>Кто нибудь сталкивался ? Конфигурация практически идентичная.

"Работает ли форвард во FreeBSD 6.1."
Отправлено sergey , 10-Ноя-06 14:53

У меня есть мысли на этот счет, спасибо статьям opennet`a
Есои поможет - отпишусь
>Как раз с роутингом все нормально. Пакет приходит но не уходит через
>правила форварда...
>
>
>
>
>>>Вообщем задача такая
>>>
>>>есть сервер с локальным IP подключенный в сеть. Роутинг по дефолту тоже
>>>есть.
>>>К нему приходит канал с реальником через tun интерфейс ( средствами vtund)
>>>На точке доступа маршрут прописан, арп все гут :-)
>>>
>>>Итак, по дефолту если пмнгуем реальник пакет честно доходит до точки доступа
>>>и уходит в тунель а затем сервер пытается уже сделать реплай
>>>через дефолтный маршрут и ессно пинг не идет. Для избежания этого
>>> прописал ipfw add fwd TUNEL ip from REAL to any
>>
>>пока правильно, но нужно проверить таблицу мршрутизации. Иногда при поднятии туннеля не
>>прописывается маршрут на етот туннель. Кроме того, если етот туннель ppp
>>или подобный - нужы адреса с маской /24. Если на подобие
>>езера - /30.
>>И пингуется ли при пустой таблице файрвола (без форварда) адрес точки доступа.
>>
>>
>>>Где TUNEL - ip на другом конце (точка доступа)
>>>REAL реальник который у меня приходит по тунелю
>>>
>>>А теперь самое интересное
>>>(который в правилах Ipfw) но пакеты продолжают слатся по дефолтному маршруту,
>>>что странно :-(
>>Ето скорее всего, что нет прямой видимости адреса TUNEL.
>>
>>>
>>>Кто нибудь сталкивался ? Конфигурация практически идентичная.

"Работает ли форвард во FreeBSD 6.1."
Отправлено sergey , 10-Ноя-06 15:57

Разобрался сам.
Нужно включать опцию IPFIREWALL_FORWARD_EXTENDED в ядре. Все заработало.