Для выхода в Инет стоит FreeBSD с firewall, Nat. Не могу соедениться с удаленной VPN с машин подсети(Win XP Pro),хотя по модему все впорядке. VPN использует дополнительно IpSec.
Понимаю, что нехватает каких то правил в firewall. Подскажите какие правила нужны для подключения к VPN/
В handbook все расписано:
http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec...
>В handbook все расписано:
>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec...mojno zdelati i bez gif
>>В handbook все расписано:
>>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec...
>
>mojno zdelati i bez gif
Прочитал статью. Там описано построение VPN для двух локальных сетей. А мне нужно, что бы любой пользователь моей сети мог бы создавать VPN к любой сети. Конкретнее. Есть несколько сервисов, которые предоставляют доступ к ресурсам через VPN. Насколько я понял мну нужна просто инкапсуляция. По этому вопросу есть какие нить ссылки?
Конкретнее что бы было понятно:
-------- ------------------------ ------------------------
Локалка |---->|шлюз FreeBSD(Nat,ipfrwl)|---->INTERNET----->|Сайт к которому нужно |
-------- ------------------------ |подключиться через VPN |
| соеденение |
------------------------
Посмотри логи security
скорее всего нужно разрешить на твоей фре прохождение gre трафика:ipfw add allow gre from any to any
Тогда твои пользователи будут иметь возможность подключатся VPNкой
>>>В handbook все расписано:
>>>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec...
>>
>>mojno zdelati i bez gif
>
>
>Прочитал статью. Там описано построение VPN для двух локальных сетей. А
>мне нужно, что бы любой пользователь моей сети мог бы создавать
>VPN к любой сети. Конкретнее. Есть несколько сервисов, которые предоставляют доступ
>к ресурсам через VPN. Насколько я понял мну нужна просто инкапсуляция.
>По этому вопросу есть какие нить ссылки?Ссылаясь на handbook, я имел ввиду, что там есть примеры правил ipfw для ipencap
Хотелось бы вернуться к этой теме.
Было сказано:
стоит добавить в правила фарвола:
ipfw add allow gre from any to anyу меня на данный момент стоит add allow all from any to any
-короче не работает.
Тыкните пальцем- куда что надо прописать для прохождения через шлюз FreeBSD с NAT,для подключения к серверу VPN использующего IpSec
Сервер VPN работает?Логи фаервола давай посмотрим (в момент подключения). Посмотри по правилам, может у тебя есь правило которое срабатывает раньше "add allow all from any to any"
>Сервер VPN работает?
работает
>Логи фаервола давай посмотрим (в момент подключения). Посмотри по правилам, может у
>тебя есь правило которое срабатывает раньше "add allow all from any
>to any"firewall.conf [B---] 28 L:[ 1+19 20/ 22] *(934 / 937b)= y 121 0x79
add deny log logamount 0 icmp from any to any in icmptype 5,9,13,14,15,16,17
add reject log logamount 0 ip from 192.168.0.0/24 to any in via rl0
add allow udp from 192.168.0.0/24 to any 1701
add allow udp from any to any 500
add allow udp from any to any 4500
add allow ip from 192.168.0.0/24 to 195.149.70.70
add allow ip from 127.0.0.1/32 to 195.149.70.70
add deny log logamount 0 ip from 127.0.0.0/8 to any in via rl0
add deny tcp from 202.175.18.130/32 to any
add deny all from 83.218.232.213/32 to any
add deny all from 195.96.33.234/32 to any
add deny all from 201.43.40.247/32 to any
add deny all from 220.125.4.246/32 to any
add deny tcp from 216.109.57.71/32 to any
add deny tcp from 125.255.100.149/32 to any
add deny tcp from 219.86.37.196/32 to any
add deny tcp from 220.133.139.135/32 to any
add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
add divert natd ip from any to any via rl0
add allow all from any to any