Поднят VPN cервер на FBSD. Сам сервер для VPN клиента свободно доступен, пингуется и.т.д... А вот другие машины сети VPN клиент не видят и не пингуют... Явно где то перемудрили с правиламиext_if="rl0" - интерфейс сети провадера
wan_if="ng0" - интернет через vpn
int_if="bridge0" - сетевые карты смотрящие в локальную сеть
vmail_if="fxp0" - сетвая для vbox бриджа (dmz)
vpn_if="ng1" - (ВПН сервер)
Extr_if="{ng0 rl0}"#lan="172.16.5.0/24"
#dmz="172.16.6.0/24"icmp_types="{echoreq, unreach}"
set block-policy drop
set loginterface $wan_if
set skip on lo0
set optimization conservativescrub in all
scrub out on $wan_if random-id max-mss 1460# NAT
nat on $ext_if proto { tcp udp icmp } from $int_if:network to any -> ($ext_if)
nat on $wan_if proto { tcp udp icmp gre } from $int_if:network to any -> ($wan_if)
rdr pass on $wan_if proto tcp from any to any port 25 -> 172.16.6.7block all
# Traffic from gateway
pass out on $ext_if from ($ext_if) to any
pass out on $wan_if from ($wan_if) to any
# Traffic from LAN to INET
pass out on $Extr_if from ($int_if) to any
pass out on $Extr_if from ($vmail_if) to any#-------------------VPN
pass in on $wan_if inet proto tcp from any to any port 1723
pass in on $wan_if inet proto { tcp udp } from any to any port 1701
pass in on $wan_if inet proto gre from any to any#=================== Sever ports { Web 80 SSH 450 Zimbra SOAP 7071 }
pass in on $wan_if proto tcp from any to ($wan_if) port { 80 450 }
# ICMP
pass log inet proto icmp all icmp-type $icmp_typespass quick on $int_if
pass quick on $vpn_if
pass quick on $vmail_if
локалку не видит?
а маршрут к ней у vpn клиента есть?
>локалку не видит?
>а маршрут к ней у vpn клиента есть?Вроде как есть
-route PRINT
172.16.0.0 255.255.0.0 172.16.5.200 172.16.5.200 21
172.16.5.200 255.255.255.255 On-link 172.16.5.200 276Пинг VPN сервера
ping 172.16.5.3
Обмен пакетами с 172.16.5.3 по с 32 байтами данных:
Ответ от 172.16.5.3: число байт=32 время=15мс TTL=64Пинг машины в локальной сети VPN сервера
ping 172.16.5.1
Обмен пакетами с 172.16.5.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.tracert 172.16.5.1
Трассировка маршрута к 172.16.5.1 с максимальным числом прыжков 301 13 ms 14 ms 16 ms 172.16.5.200
2 * * * Превышен интервал ожидания для запроса.
3
а в локалке кто шлюзом указан? машина с vpn сервером?
>а в локалке кто шлюзом указан? машина с vpn сервером?В локальной сети VPN сервера? Да именно он и является. В случае VPN клиента галочка (использовать шлюз удаленной сети как основной) никак не влияет на прохождение пингов
>[оверквотинг удален]
>>а маршрут к ней у vpn клиента есть?
>
>Вроде как есть
>-route PRINT
> 172.16.0.0 255.255.0.0
> 172.16.5.200 172.16.5.200
> 21
> 172.16.5.200 255.255.255.255
> On-link 172.16.5.200
>276172.16.5.200 это vpn клиент?
vpn клиентам выдаете ip из подсети локалки?
>[оверквотинг удален]
>
>tracert 172.16.5.1
>Трассировка маршрута к 172.16.5.1 с максимальным числом прыжков 30
>
> 1 13 ms 14
>ms 16 ms 172.16.5.200
> 2 *
> *
>* Превышен интервал ожидания для запроса.
> 3
>172.16.5.200 это vpn клиент?
>vpn клиентам выдаете ip из подсети локалки?Да именно так. с .200 до .210
Еще очень смущает
ifconfig
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
inet 172.16.5.200 --> 172.16.5.200 netmask 0xffffffffПравда в связи с тем что динамический айпи в конфиге mpd стоит
set pptp self 0.0.0.0
>>172.16.5.200 это vpn клиент?
>>vpn клиентам выдаете ip из подсети локалки?
>
>Да именно так. с .200 до .210это конечно дело вкуса ....,
возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и посмотрите уходят ли пакеты в локалку и есть ли ответы
>>>172.16.5.200 это vpn клиент?
>>>vpn клиентам выдаете ip из подсети локалки?
>>
>>Да именно так. с .200 до .210
>
>это конечно дело вкуса ....,
>
>возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и
>посмотрите уходят ли пакеты в локалку и есть ли ответыНо ответа у кого .200 так и не получает... Проблема в bridge0?
tcpdump -vv -i bridge0
tcpdump: listening on bridge0, link-type EN10MB (Ethernet), capture size 96 bytes
17:11:33.521633 IP (tos 0x0, ttl 127, id 361, offset 0, flags [none], proto ICMP (1), length 60)
172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 615, length 40
17:11:33.522288 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:34.514226 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:35.511779 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:38.366538 IP (tos 0x0, ttl 127, id 362, offset 0, flags [none], proto ICMP (1), length 60)
172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 616, length 40
17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none], proto ICMP (1), length 60)
172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 617, length 40
>[оверквотинг удален]
> 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 616, length 40
>17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell
>172.16.5.1, length 46
>17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell
>172.16.5.1, length 46
>17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell
>172.16.5.1, length 46
>17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none],
>proto ICMP (1), length 60)
> 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 617, length 40172.16.5.1 не знает mac адрес 172.16.5.200, и запрашивает его но ответа не получает, а так как подсеть одна , то на шлюз по умолчанию ответ не отправляется
попробуйте в pf разрешить все для bridge0.
включите логирование того что блокируется и посмотрите.
>попробуйте в pf разрешить все для bridge0.
>включите логирование того что блокируется и посмотрите.Вопрос только как одной строкой снять все запреты для bridge0? Разве pass quick on $int_if не то что нужно?
arp -a
? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge]
? (172.16.5.3) at ... on bridge0 permanent [bridge]
? (10.73.180.179) at ... on rl0 permanent [ethernet]
? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet]
? (172.16.6.1) at ... on fxp0 permanent [ethernet]
? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet]
>>попробуйте в pf разрешить все для bridge0.
>>включите логирование того что блокируется и посмотрите.
>
>Вопрос только как одной строкой снять все запреты для bridge0? Разве pass
>quick on $int_if не то что нужно?проглядел :)
>
>arp -a
>? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge]
>? (172.16.5.3) at ... on bridge0 permanent [bridge]
>? (10.73.180.179) at ... on rl0 permanent [ethernet]
>? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet]
>? (172.16.6.1) at ... on fxp0 permanent [ethernet]
>? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet]может ng1 тоже в bridge0 запихнуть?
я бы vpn клиентам сделал бы другую подсеть, но на вкус и цвет ....
>может ng1 тоже в bridge0 запихнуть?
>я бы vpn клиентам сделал бы другую подсеть, но на вкус и
>цвет ....Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7 (виртуальный сервер vbox bridge на fxp0 (vmail_if)
При чем аrp он узнает... Мало тогоlength 74: 172.16.6.7 > 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40
Но увы до 200го пинги уже не доходят... Мистика?
>>может ng1 тоже в bridge0 запихнуть?
>>я бы vpn клиентам сделал бы другую подсеть, но на вкус и
>>цвет ....
>
>Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7
>(виртуальный сервер vbox bridge на fxp0 (vmail_if)
>При чем аrp он узнает... Мало того172.16.6.7 знает mac адрес 172.16.5.200?
172.16.5.200/32 не в подсети 172.16.6.7/24, а значит 172.16.6.7 не должен знать mac адрес 172.16.5.200.
или может 172.16.6.7 отправил пакет на шлюз который не понял куда его дальше слать. маршрут к 172.16.5.0/24 по идее должен быть приоритетней чем 172.16.0.0/16, соответственно шлюз должен попытаться отправить его в локалку, а не к vpn клиенту.попробуйте tcpdump в это время на bridge0
>
> length 74: 172.16.6.7 > 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40на каком интерфейсе?
>
>Но увы до 200го пинги уже не доходят... Мистика?таблицу маршрутизации с машины с vpn сервером покажите