URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90652
[ Назад ]

Исходное сообщение
"Ответы с разных IP одного компьютера"
Отправлено gigabyte , 29-Дек-10 10:25

Здравствуйте,
Симптомы следующие:
- Система FreeBSD 7.2
- Стоит quagga
- настравивал не Я
- 2 сетевые 1.1.1.1 - внешний 2.2.2.2 - внутренний
Вопрос в следующем:
Я нахожусь в локальной сети (т.е. мой шнур втыкнут в 2.2.2.2)
Если я посылаю запрос на адрес 1.1.1.1 то отвечает мне с адреса 2.2.2.2
1. Это в ПРИНЦЫПЕ правильное построение или нет? Так как тот же openvpn клиент шибко матюкается на такое поведение и требует установки дополнительных опций в конфигурацию что подхватывать эти ответы.
2. Как это лечить

Содержание

Ответы с разных IP одного компьютера,reader, 11:35 , 29-Дек-10
- Ответы с разных IP одного компьютера,gigabyte, 11:50 , 29-Дек-10
  - Ответы с разных IP одного компьютера,reader, 11:54 , 29-Дек-10
    - Ответы с разных IP одного компьютера,gigabyte, 12:45 , 29-Дек-10
      - Ответы с разных IP одного компьютера,reader, 13:11 , 29-Дек-10
        
        Ответы с разных IP одного компьютера,gigabyte, 13:19 , 29-Дек-10
        
        Ответы с разных IP одного компьютера,reader, 13:33 , 29-Дек-10
        
        Ответы с разных IP одного компьютера,gigabyte, 13:59 , 29-Дек-10
        
        Ответы с разных IP одного компьютера,reader, 14:49 , 29-Дек-10
        
        Ответы с разных IP одного компьютера,gigabyte, 16:25 , 29-Дек-10
        
        Ответы с разных IP одного компьютера,reader, 17:09 , 29-Дек-10
        
        Ответы с разных IP одного компьютера,gigabyte, 17:37 , 29-Дек-10
      - Ответы с разных IP одного компьютера,reader, 13:14 , 29-Дек-10
Ответы с разных IP одного компьютера,ALex_hha, 15:50 , 01-Янв-11
- Ответы с разных IP одного компьютера,mahn0, 00:31 , 16-Фев-11

Сообщения в этом обсуждении

"Ответы с разных IP одного компьютера"
Отправлено reader , 29-Дек-10 11:35

>[оверквотинг удален]
> - настравивал не Я
> - 2 сетевые 1.1.1.1 - внешний 2.2.2.2 - внутренний
> Вопрос в следующем:
> Я нахожусь в локальной сети (т.е. мой шнур втыкнут в 2.2.2.2)
> Если я посылаю запрос на адрес 1.1.1.1 то отвечает мне с адреса
> 2.2.2.2
> 1. Это в ПРИНЦЫПЕ правильное построение или нет? Так как тот же
> openvpn клиент шибко матюкается на такое поведение и требует установки дополнительных
> опций в конфигурацию что подхватывать эти ответы.
> 2. Как это лечить
не правильно.
возможно пакеты под nat попадают

"Ответы с разных IP одного компьютера"
Отправлено gigabyte , 29-Дек-10 11:50

> не правильно.
> возможно пакеты под nat попадают
Как это можно проверить

"Ответы с разных IP одного компьютера"
Отправлено reader , 29-Дек-10 11:54

>> не правильно.
>> возможно пакеты под nat попадают
> Как это можно проверить
смотреть конфиги, следить за счетчиками правил

"Ответы с разных IP одного компьютера"
Отправлено gigabyte , 29-Дек-10 12:45

А Можно какието более конкретные примеры.
Дополнитальная информацыя: НАТ есть, построен на PF
где-то так:
external_addr="1.1.1.1"
ext_if="vlan5"
table <internal_net>  persist {..........., 2.2.2.2}
set optimization normal
set limit table-entries 600000.
nat on $ext_if from <internal_net> to any -> ($ext_if)

Но по ходу по єтому правилу никто не ходит:
  [ Evaluations: 60375     Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 31689 ]
Это не может быть связанно с quagg-ой и её неправильной настройкой

"Ответы с разных IP одного компьютера"
Отправлено reader , 29-Дек-10 13:11

>[оверквотинг удален]
> table <internal_net>  persist {..........., 2.2.2.2}
> set optimization normal
> set limit table-entries 600000.
> nat on $ext_if from <internal_net> to any -> ($ext_if)
> Но по ходу по єтому правилу никто не ходит:
>   [ Evaluations: 60375     Packets: 0
>        Bytes: 0
>         States: 0
>    ]
>   [ Inserted: uid 0 pid 31689 ]
с pf по идеи такого получится не должно было, тем более что для nat указан интерфейс. посмотрите не запущен ли ipfw.
запустите tcpdump на внутреннем интерфейсе.
pftop - наглядная штука для pf

"Ответы с разных IP одного компьютера"
Отправлено gigabyte , 29-Дек-10 13:19

> с pf по идеи такого получится не должно было, тем более что
> для nat указан интерфейс. посмотрите не запущен ли ipfw.
> запустите tcpdump на внутреннем интерфейсе.
> pftop - наглядная штука для pf
ipfw - стоит но там только allow\deny и все
tcpdump показывает тоже самое:
12:18:05.179328 IP 10.0.11.16.63183 > 1.1.1.1.1194: UDP, length 42
12:18:05.179489 IP 2.2.2.2.1194 > 10.0.11.16.63183: UDP, length 50
Шас иду мониторить pftop-ом
.........
В нем нет ни одной записи связанной с openvpn (смотрел по порту 1194)

"Ответы с разных IP одного компьютера"
Отправлено reader , 29-Дек-10 13:33

>> с pf по идеи такого получится не должно было, тем более что
>> для nat указан интерфейс. посмотрите не запущен ли ipfw.
>> запустите tcpdump на внутреннем интерфейсе.
>> pftop - наглядная штука для pf
> ipfw - стоит но там только allow\deny и все
> tcpdump показывает тоже самое:
> 12:18:05.179328 IP 10.0.11.16.63183 > 1.1.1.1.1194: UDP, length 42
> 12:18:05.179489 IP 2.2.2.2.1194 > 10.0.11.16.63183: UDP, length 50
а если обращаться не к openvpn
> Шас иду мониторить pftop-ом
> .........
> В нем нет ни одной записи связанной с openvpn (смотрел по порту
> 1194)

"Ответы с разных IP одного компьютера"
Отправлено gigabyte , 29-Дек-10 13:59

telnet 1.1.1.1 80
на tcpdump показывает правильно

"Ответы с разных IP одного компьютера"
Отправлено reader , 29-Дек-10 14:49

> telnet 1.1.1.1 80
> на tcpdump показывает правильно
то есть ответ от 1.1.1.1 отправляет?
а неправильный адрес только при обращении к openvpn? если да, то что у него в конфиге

"Ответы с разных IP одного компьютера"
Отправлено gigabyte , 29-Дек-10 16:25

>> telnet 1.1.1.1 80
>> на tcpdump показывает правильно
> то есть ответ от 1.1.1.1 отправляет?
> а неправильный адрес только при обращении к openvpn? если да, то что
> у него в конфиге
server.conf:
port 1194
proto udp
dev tap
tls-server
tls-auth ta.key 0
ca /etc/ssl/crts/rootCA.crt
cert /etc/ssl/openvpn_serv.crt
key /etc/ssl/openvpn_serv.key  # This file should be kept secret
comp-lzo
dh dh1024.pem
server 10.67.33.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
cipher DES-EDE3-CBC
#log         openvpn_serv.log
#log-append  openvpn_serv.log
#verb 3

"Ответы с разных IP одного компьютера"
Отправлено reader , 29-Дек-10 17:09

>[оверквотинг удален]
> comp-lzo
> dh dh1024.pem
> server 10.67.33.0 255.255.255.0
> ifconfig-pool-persist ipp.txt
> client-to-client
> keepalive 10 120
> cipher DES-EDE3-CBC
> #log openvpn_serv.log
> #log-append openvpn_serv.log
> #verb 3
или используйте proto tcp, или обращайтесь на внутренний ip

"Ответы с разных IP одного компьютера"
Отправлено gigabyte , 29-Дек-10 17:37

Да пошло спасибо
> или используйте proto tcp, или обращайтесь на внутренний ip

"Ответы с разных IP одного компьютера"
Отправлено reader , 29-Дек-10 13:14

> Это не может быть связанно с quagg-ой и её неправильной настройкой
это относится к маршрутизации и на заголовки пакетов влиять не должно

"Ответы с разных IP одного компьютера"
Отправлено ALex_hha , 01-Янв-11 15:50

Это известная проблема openvpn и freebsd. Не знаю как сейчас дела обстоят на фряхе, но на линухе это лечится указанием опции multihome в конфиге openvpn. Появилась начиная с 2.1 кажется
Либо как вариант создавать несколько кинфигов openvpn и в каждом явно привязывать его к необходимому интерфейсу.

"Ответы с разных IP одного компьютера"
Отправлено mahn0 , 16-Фев-11 00:31

> Это известная проблема openvpn и freebsd. Не знаю как сейчас дела обстоят
> на фряхе, но на линухе это лечится указанием опции multihome в
> конфиге openvpn. Появилась начиная с 2.1 кажется
> Либо как вариант создавать несколько кинфигов openvpn и в каждом явно привязывать
> его к необходимому интерфейсу.
Именно. multihome во фре не работает. решение - только несколько конфигов. Вот мой пример:
http://www.mahno.su/freebsd/network/openvpn-tcp-udp