Народ помогите, уже не знаю что делать... все что можно перечитал.. форумы облазил... вроде все правильно сделано... а не работает... уже и не наю с каким бубном бегать...
задача как и всегда однотипная:сеть1:
внутр.IP:10.22.12.3
внешн.IP:A.B.C.D
сеть: 10.22.12.0/24сеть2:
внутр.IP:192.168.0.150
внешн.IP:W.X.Y.Z
сеть: 192.168.0.0/24мое решение:
сеть1:
rc.conf
cloned_interfaces="gif0"
gif_interfaces="gif0"
ifconfig_gif0="inet 10.22.12.3 192.168.0.150 netmask 0xffffffff tunnel A.B.C.D W.X.Y.Z"
static_routes="vpn"
route_vpn="192.168.0.0/24 192.168.0.150"rc.firewall
${fwcmd} add 310 allow ip from W.X.Y.Z to A.B.C.D
${fwcmd} add 311 allow ip from A.B.C.D to W.X.Y.Z
${fwcmd} add 312 allow ip from 192.168.0.0/24 to 10.22.12.0/24
${fwcmd} add 313 allow ip from 10.22.12.0/24 to 192.168.0.0/24netstat -rn
10.22.12/24 link#1 UC 0 0 rl0
192.168.0 192.168.0.150 UGS 0 89 gif0
192.168.0.150 10.22.12.3 UH 1 56 gif0сеть2:
rc.conf
cloned_interfaces="gif0"
gif_interfaces="gif0"
ifconfig_gif0="inet 192.168.0.150 10.22.12.3 netmask 0xffffffff tunnel W.X.Y.Z A.B.C.D"
static_routes="vpn"
route_vpn="10.22.12.0/24 10.22.12.3"rc.firewall
${fwcmd} add 310 allow ip from A.B.C.D to W.X.Y.Z
${fwcmd} add 311 allow ip from W.X.Y.Z to A.B.C.D
${fwcmd} add 313 allow ip from 10.22.12.0/24 to 192.168.0.0/24
${fwcmd} add 314 allow ip from 192.168.0.0/24 to 10.22.12.0/24netstat -rn
192.168.0 link#1 UC 0 0 rl0
10.22.12/24 10.22.12.3 UGS 0 258 gif0
10.22.12.3 192.168.0.150 UH 1 58 gif0ИТОГО:
могу пинговать только этот самый шлюз что с той что с другой стороны... сети недоступны!!!
Подскажите плиз что делать, что я делаю не так... я уже измучался нафих... даже бубен не помогает...
Народ... ну помогите...
неужели никто не знает что можно сделать?
АУУУ хьюстон!!!!или мы можем только отвечать на вопросы как настроить IPFW как переименовать файл??\
>АУУУ хьюстон!!!!
>
>или мы можем только отвечать на вопросы как настроить IPFW как переименовать
>файл??\
А при разрешение всем всего на фаерволе ходит???
>>АУУУ хьюстон!!!!
>>
>>или мы можем только отвечать на вопросы как настроить IPFW как переименовать
>>файл??\
>
>
>А при разрешение всем всего на фаерволе ходит???еще вариант - марщрутизацию копать. обычно когда хосты друг-друга видят, а сети недоступны значить иль маршрутизация иль фильтрация(файеры)...
>>>АУУУ хьюстон!!!!
>>>
>>>или мы можем только отвечать на вопросы как настроить IPFW как переименовать
>>>файл??\
>>
>>
>>А при разрешение всем всего на фаерволе ходит???
>
>еще вариант - марщрутизацию копать. обычно когда хосты друг-друга видят, а сети
>недоступны значить иль маршрутизация иль фильтрация(файеры)...#route
>>>АУУУ хьюстон!!!!
>>>
>>>или мы можем только отвечать на вопросы как настроить IPFW как переименовать
>>>файл??\
>>
>>
>>А при разрешение всем всего на фаерволе ходит???
>
>еще вариант - марщрутизацию копать. обычно когда хосты друг-друга видят, а сети
>недоступны значить иль маршрутизация иль фильтрация(файеры)...
ну я привел настройки таблицы маршрутизации... чтож в них не так насписано то?
>>АУУУ хьюстон!!!!
>>
>>или мы можем только отвечать на вопросы как настроить IPFW как переименовать
>>файл??\
>
>
>А при разрешение всем всего на фаерволе ходит???
ходит... опять же только между шлюзами...
изучая логи ipfw заметил, что исходящий пинг, уходит по внешнему интрефейсу, а не по gif правильно ли это не наю...
если писать в ipfw правила с via gif тады хрен че воообще пройдет
причем в логах на той стороне пишется что мол что пинг до машинки доходит
Сеть надо настраивать вообще без файрвола, а потом уже файрволить.
>Сеть надо настраивать вообще без файрвола, а потом уже файрволить.
ну во-первых: не сразу предугадаешь, кда и когда тебе понадобиться строить туннель даи воообще что-то
на а во-вторых: allow from any to any
ну никак не ограничивает прохождение пакетов, да и воообще никак на них не влияет, только если заносит в лог.Вы что по делу советовали, а не просто так фразами кидались...
>>Сеть надо настраивать вообще без файрвола, а потом уже файрволить.
>
>
>ну во-первых: не сразу предугадаешь, кда и когда тебе понадобиться строить туннель
>даи воообще что-то
>на а во-вторых: allow from any to any
>ну никак не ограничивает прохождение пакетов, да и воообще никак на них
>не влияет, только если заносит в лог.
>
>Вы что по делу советовали, а не просто так фразами кидались...
Я фразами не кидаюсь, а говорю по-опыту. Любая сложная задача должна решаться методом постепенного усложнения. Это снижает вероятность ошибки. Вот я и посоветывал упростить задачу, чтоб знать где искать ошибку. А то вот представьте люди будут сидеть разбираться в вашей задача, а ошибка окажется в строке "allow from any to any".
>>>Сеть надо настраивать вообще без файрвола, а потом уже файрволить.
>>
>>
>>ну во-первых: не сразу предугадаешь, кда и когда тебе понадобиться строить туннель
>>даи воообще что-то
>>на а во-вторых: allow from any to any
>>ну никак не ограничивает прохождение пакетов, да и воообще никак на них
>>не влияет, только если заносит в лог.
>>
>>Вы что по делу советовали, а не просто так фразами кидались...
>Я фразами не кидаюсь, а говорю по-опыту. Любая сложная задача должна решаться
>методом постепенного усложнения. Это снижает вероятность ошибки. Вот я и посоветывал
>упростить задачу, чтоб знать где искать ошибку. А то вот представьте
>люди будут сидеть разбираться в вашей задача, а ошибка окажется в
>строке "allow from any to any".:)) ну да... если сломалась машина (на которой ездят...) и человек не знает как ее сделать... ее же на конвеер, по болтам и гайкам и по новой...
невозможно на работюбщем сервере все нафиг снести и делать все с НУЛЯ... так же как и починить автомобиль подобным образом!!!
>Народ помогите, уже не знаю что делать... все что можно перечитал.. форумы
>облазил... вроде все правильно сделано... а не работает... уже и не
>наю с каким бубном бегать...
>задача как и всегда однотипная:
>
>сеть1:
>внутр.IP:10.22.12.3
>внешн.IP:A.B.C.D
>сеть: 10.22.12.0/24
>
>сеть2:
>внутр.IP:192.168.0.150
>внешн.IP:W.X.Y.Z
>сеть: 192.168.0.0/24
>
>мое решение:
>
>сеть1:
>
>rc.conf
> cloned_interfaces="gif0"
> gif_interfaces="gif0"
> ifconfig_gif0="inet 10.22.12.3 192.168.0.150 netmask
>0xffffffff tunnel A.B.C.D W.X.Y.Z"
> static_routes="vpn"
> route_vpn="192.168.0.0/24 192.168.0.150"
>
>rc.firewall
> ${fwcmd} add 310 allow
>ip from W.X.Y.Z to A.B.C.D
> ${fwcmd} add 311 allow
>ip from A.B.C.D to W.X.Y.Z
> ${fwcmd} add 312 allow
>ip from 192.168.0.0/24 to 10.22.12.0/24
> ${fwcmd} add 313 allow
>ip from 10.22.12.0/24 to 192.168.0.0/24
>
>netstat -rn
> 10.22.12/24
> link#1
> UC
> 0
> 0 rl0
> 192.168.0
> 192.168.0.150
> UGS 0
> 89 gif0
> 192.168.0.150
> 10.22.12.3
>UH 1
> 56 gif0
>
>сеть2:
>
>rc.conf
> cloned_interfaces="gif0"
> gif_interfaces="gif0"
> ifconfig_gif0="inet 192.168.0.150 10.22.12.3 netmask
>0xffffffff tunnel W.X.Y.Z A.B.C.D"
> static_routes="vpn"
> route_vpn="10.22.12.0/24 10.22.12.3"
>
>rc.firewall
> ${fwcmd} add 310 allow
>ip from A.B.C.D to W.X.Y.Z
> ${fwcmd} add 311 allow
>ip from W.X.Y.Z to A.B.C.D
> ${fwcmd} add 313 allow
>ip from 10.22.12.0/24 to 192.168.0.0/24
> ${fwcmd} add 314 allow
>ip from 192.168.0.0/24 to 10.22.12.0/24
>
>netstat -rn
> 192.168.0
> link#1
> UC
> 0
> 0 rl0
> 10.22.12/24
> 10.22.12.3
> UGS
>0 258 gif0
> 10.22.12.3
> 192.168.0.150
>UH 1
> 58 gif0
>
>ИТОГО:
>
>могу пинговать только этот самый шлюз что с той что с другой
>стороны... сети недоступны!!!
>Подскажите плиз что делать, что я делаю не так... я уже измучался
>нафих... даже бубен не помогает...э... простите мою тупость, мне просто любопытно, а какая такая однотипная задача?
Что вы хотите, более конкретно можно сказать?
Вот нанпример устроить просто бридж межд двумя подсетями или чтоб обе подсети выходили в инет через какой-то шлюз...
Что именно вам нужно сделать?Если бридж, то где правила форвардинга пакетов или указанные роуты до нужных подсетей?
Если чтоб выходили в инет, то где правила ната?
Какая задача то?
Нуу вообщето задача написана в заголовке темы:"HELP freebsd 6.1 gif tunnel"
что же тут можно понимать под туннелем?
выход в инет???
вроде туннель всегда считался вещью соединяющей что-то... в моем случае, это что-то, это 2 сети...
нужно чтобы между ними бегали пакеты..
>Нуу вообщето задача написана в заголовке темы:"HELP freebsd 6.1 gif tunnel"
>что же тут можно понимать под туннелем?
>выход в инет???
>вроде туннель всегда считался вещью соединяющей что-то... в моем случае, это что-то,
>это 2 сети...
>нужно чтобы между ними бегали пакеты..
Э... ну, а если тунель то надо понимать что у вас два сервера или как ?
И между ними вы хотите тунель?
Тогда что означает фраза "могу пинговать только этот самый шлюз что с той что с другой стороны" это какой шлюз их же два вроде?
Это первое, второе если у вас схема такая
Сеть1----шлюз1------шлюз2----Сеть2
то на каждом шлюзе вроде две сетвые карты должны быть, у вас одна, они что? через хаб все подряд подключены?Если у вас один шлюз и схема такая
Сеть1----шлюз----Сеть2
То у вас опять должны быть две сетевые карты... Или они в один хаб все воткнуты вместе с интеом за компанию?
И как тогда понимать ваши настройки сети1 и сети2 Это как в одном rc.firewall илил в разных?И ещё, что у вас является дефлтным гетвеем? Пакеты направленные из одной подсети в другую не должны оказываться на внешней сети, они там будут если они попадают раньше на нат чем на указанные вами правила. Но опять же вы тут как-то неясно объяснили, и можно лишь гадать что вы там забыли сделать ...
Можно как-то больше информации... топология какая?