https://www.opennet.ru/openforum/vsluhforumID1/86839.html Добрый, господа.<br>Имею две локалки и два шлюза под OpenBSD4.5. Шлюзы эти как две капли воды, за исключением, того что один из них OpenVPN-сервер, другой - клиент. И все то там прекрасно работает, да вот только локалки друг друга не видят. Причем как только на шлюзе-клиенте, я заменяю все фильтрующие правила на "pass all", локалки становятся доступными друг для друга; я вновь меняю правила в исходное положение (pfctl -f ессно делаю) и, чудо, сети продолжают друг друга видеть, до первой перезагрузки шлюза.<br>Такое ощущение будто шлюзы должны "понюхать" друг друга, как собаки, а pf им мешает.<br><br>Ниже pf.conf для обоих шлюзов. Буду благодарен за совет.<br><br>----------------------------------------------------------<br>set block-policy return<br>set loginterface $ext_if<br>set skip on { lo tun0 }<br>scrub in<br><br>nat on $ext_if from $local_net to any -&gt; $ext_ip<br><br>block all<br>pass out on $int_if from any to $local_net<br>pass in quick on $int_if from $local_net to $int_if<br>pass in on $int_if proto tcp from $local_net to any flags https://www.opennet.ru/openforum/vsluhforumID1/86839.html#5 Thu, 08 Oct 2009 13:00:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;1194 keep state <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Openvpn настроен на передачу по upd; я всеже изменил, но это не <br>&gt;&gt;&gt;помогло. <br>&gt;&gt;<br>&gt;&gt;сделайте логирование того что блокируется и посмотрите <br>&gt;<br>&gt;Oct 08 16:38:52.570648 rule 0/(match) block in on tun0: 94.*.*.178 &gt; 192.168.2.20: icmp: echo request<br>&gt;<br>&gt;set skip tun0 - не решает? <br><br>Спасибо за ответ, это действительно так ((. На обоих шлюзах указано set skip on { lo tun0 }, но заработало только после того, как я явно указал это правилами:<br><br>#VPN<br>pass in on tun0 proto tcp from any to any $tcpstate<br>pass in on tun0 proto { icmp udp } from any to any $udpstate<br>pass out on tun0 proto tcp from any to any $tcpstate<br>pass out on tun0 proto { icmp udp } from any to any $udpstate<br><br>для меня это останется загадкой....<br><br> https://www.opennet.ru/openforum/vsluhforumID1/86839.html#4 Thu, 08 Oct 2009 12:48:38 GMT &gt;&gt;&gt;Попробуйте изменить на <br>&gt;&gt;&gt;pass in on $ext_if proto {tcp udp} from any to $ext_ip port <br>&gt;&gt;&gt;1194 keep state <br>&gt;&gt;<br>&gt;&gt;Openvpn настроен на передачу по upd; я всеже изменил, но это не <br>&gt;&gt;помогло. <br>&gt;<br>&gt;сделайте логирование того что блокируется и посмотрите <br><br>Oct 08 16:38:52.570648 rule 0/(match) block in on tun0: 94.*.*.178 &gt; 192.168.2.20: icmp: echo request<br><br>set skip tun0 - не решает?<br> https://www.opennet.ru/openforum/vsluhforumID1/86839.html#3 Thu, 08 Oct 2009 12:02:00 GMT &gt;&gt;Попробуйте изменить на <br>&gt;&gt;pass in on $ext_if proto {tcp udp} from any to $ext_ip port <br>&gt;&gt;1194 keep state <br>&gt;<br>&gt;Openvpn настроен на передачу по upd; я всеже изменил, но это не <br>&gt;помогло. <br><br>сделайте логирование того что блокируется и посмотрите<br> https://www.opennet.ru/openforum/vsluhforumID1/86839.html#2 Thu, 08 Oct 2009 10:18:48 GMT &gt;Попробуйте изменить на <br>&gt;pass in on $ext_if proto {tcp udp} from any to $ext_ip port <br>&gt;1194 keep state <br><br>Openvpn настроен на передачу по upd; я всеже изменил, но это не помогло.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/86839.html#1 Thu, 08 Oct 2009 09:24:34 GMT Попробуйте изменить на<br>pass in on $ext_if proto {tcp udp} from any to $ext_ip port 1194 keep state<br>