https://opennet.me/openforum/vsluhforumID1/86773.html Прошу помощи!<br>Не удаётся выйти в Интернет через маршрутизатор FreeBSD 7.2.<br><br>Настройка BSD выполнена.<br>Интернет на самом маршрутизаторе работает без проблем.<br>Подключение PPPoE (динамическое), DNS через resolv.conf.<br>Пинги по локальной сети до BSD (туда-сюда) ходят.<br>А вот, пинги в Интернет от XP (через шлюз) не идут.<br>У пользователей (XP) в качестве шлюза указан адрес BSD. <br>Пытался подключиться без всяких ipfw/nat...ничего, с ними тоже (сейчас оставил OPEN).<br><br>Всё, вроде, настроено по многочисленным handbook-ам.<br><br>=========<br>Ядро перекомпилировано, как требуется:<br><br>optionsIPFIREWALL <br>options IPFIREWALL_VERBOSE <br>options IPFIREWALL_FORWARD <br>options IPFIREWALL_VERBOSE_LIMIT=100 <br>options IPFIREWALL_DEFAULT_TO_ACCEPT <br>options NETGRAPH <br>options NETGRAPH_PPP <br>options NETGRAPH_PPTPGRE <br>options DUMMYNET <br>options IPDIVERT<br>=========<br>rc.conf<br><br>gateway_enable="YES"<br>hostname="bsd"<br>network_interfaces="lo0 sk0 rl0"<br>ifconfig_lo0="inet 127.0.0.1"<br>ifconfig_sk0="inet 192.168.0.1 netma https://opennet.me/openforum/vsluhforumID1/86773.html#11 Fri, 02 Oct 2009 06:08:42 GMT &gt;Кстати, если будет несколько tun, можно в ipfw указывать "tun+"? <br><br> recv &#124; xmit &#124; via {ifX &#124; if* &#124; ipno &#124; any}<br> Matches packets received, transmitted or going through, respec-<br> tively, the interface specified by exact name (ifX), by device<br> name (if*), by IP address, or through some interface.<br><br>похоже что tun*, хотя не совсем ясно девайс он или нет...<br>хотя я считаю, клиенты лана не такие уж мягкие и пушистые -- у меня они тоже явно доступ получают. а так -- deny by default для всех.<br> https://opennet.me/openforum/vsluhforumID1/86773.html#10 Fri, 02 Oct 2009 05:41:26 GMT Мне тоже интересно :)<br><br>Я так понял, защищать надо внешний интерфейс.<br>Что ближе к Интернету - интерфейс карты rl0 или созданный tun0?<br>Я думаю, tun0. <br>Тогда и nat надо вешать на tun0 и в ipfw защищать tun0.<br><br>Кстати, если будет несколько tun, можно в ipfw указывать "tun+"?<br> https://opennet.me/openforum/vsluhforumID1/86773.html#9 Thu, 01 Oct 2009 23:36:03 GMT Про динамические не скажу, у меня вот дома статический, причем ситуация схожая - также tun0 my.my.my.my -&gt; gw.gw.gw.gw (или наоборот, не помню).<br><br>Мне вот стало интересено и я решил пошевелить мозгами:)<br><br>По идее пакеты залетающие в тун0 так или иначе проходят через рл0, но только уже обернутые в PPP. Причем в dst у оберток скорее всего стоит gw провайдера. Так что если повесить нат, не знающий о ппп, на рл0, то наверно ничего натиться и не будет, т.к. все такие обертки генерит ппп/тун0, вполне локальный процесс (а исходные пакеты вообще нельзя в рл0 опознать - они же уже заппптые).<br><br>С другой стороны можно такому нату указать тун0 в качестве интерфейса, тут у меня сомнения -- ппп стартует раньше ната, или это неважо ? Если позже, то туннель будет создан уже после загрузки ната, что может на нем сказаться. Или не может ? Если у меня две ppp сессии, как определить кто тун0, а кто тун1 ?<br><br>В инете есть примеры поднятия natd/ipfw:tun0 + ppp, проверить к сожалению не могу. Будет замечательно, если кто-нибудь https://opennet.me/openforum/vsluhforumID1/86773.html#8 Thu, 01 Oct 2009 19:12:14 GMT Спасибо, попробую.<br> https://opennet.me/openforum/vsluhforumID1/86773.html#7 Thu, 01 Oct 2009 16:35:31 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt; nat enable yes <br>&gt; nat log yes <br>&gt; nat same_ports yes <br>&gt; nat use_sockets yes <br>&gt; nat unregistered_only yes <br>&gt;<br>&gt;Пинги из локалки в Инет пошли. <br>&gt;Страницы стали грузиться только после того, как прописал DNS-ы провайдера в свойствах <br>&gt;TCP/IP (на XP). <br><br>Поднимите на BSD кеширующий bind и его адрес пропишите у клиентов ... <br> https://opennet.me/openforum/vsluhforumID1/86773.html#6 Thu, 01 Oct 2009 12:31:15 GMT Я так понял, если адрес выдаётся динамический провайдером, тогда nat привязывается к туннелю (у меня tun0).<br>Если статический, тогда к сетевому интерфейсу (у меня rl0).<br><br>Я поэтому и запустил нат на ppp, а не через natd.<br>Все пишут, что лучше нету, чем ipnat, он в ядре (опять же надо перекомпилировать...), а natd внешний демон.<br><br>Какая разница, я так думаю, и natd внешний, и ppp (nat) внешний ...) <br><br>Но это моё скромное предположение )...<br>Мне тоже интересно. Прошу прокомментировать спецов.<br><br><br><br><br> https://opennet.me/openforum/vsluhforumID1/86773.html#5 Thu, 01 Oct 2009 12:12:59 GMT Добавил в <br>ppp.conf <br><br> nat enable yes<br> nat log yes<br> nat same_ports yes<br> nat use_sockets yes<br> nat unregistered_only yes<br><br>Пинги из локалки в Инет пошли.<br>Страницы стали грузиться только после того, как прописал DNS-ы провайдера в свойствах TCP/IP (на XP). <br><br><br> https://opennet.me/openforum/vsluhforumID1/86773.html#4 Thu, 01 Oct 2009 11:22:19 GMT &gt;&gt;Что посоветуете? В чём может быть проблема? Куда смотреть? <br><br>Я уж так сказать за компанию.... :)<br><br>GW мы с того конца получаем, а вот нат куда в этом случае должен смотреть, в один из network_interfaces, или в созданный туннель ? (жаль, пппое под рукой нету)<br> https://opennet.me/openforum/vsluhforumID1/86773.html#3 Thu, 01 Oct 2009 09:21:06 GMT Спасибо.<br>Попробую :)<br><br>