OpenForum RSS: FreeBSD 10.2 + pf + VPN (GRE) https://www.opennet.ru/openforum/vsluhforumID1/96395.html Здравствуйте.<br>Есть серая сетка с NAT и шлюз на FreeBSD 10.2. Надо настроить доступ из неё наружу, к внешним сетям VPN (PPTP), более чем одному пользователю одновременно.<br>То, есть нужно пробросить протокол GRE и TCP/1723.<br>Раньше делал это на IPFW, но на новом шлюзе уговорили поставить PF - типа он гибче. Вышел облом...<br><br>Оказывается этот хвалёный PF не дружит с GRE и с ещё некоторыми вещами - надо прикручивать сбоку костыль в виде IPFW с каким-то скриптом. Выглядит это гадко... Знал бы заранее - поставил бы IPFW и не парился.<br>Но, все эти заметки старые, им уже несколько лет - может быть PF уже доработали и я топчусь на ровном месте и просто не разобрался? <br><br>Как в итоге пробросить VPN малой кровью? <br>(PPTP и L2TP до кучи)<br> FreeBSD 10.2 + pf + VPN (GRE) (Аноним) https://www.opennet.ru/openforum/vsluhforumID1/96395.html#16 Wed, 16 Dec 2015 15:33:49 GMT PF никогда не умел в ALG (Application Layer Gateway). Без него вы поимеете проблемы с натом следующего трафика:<br>-активным FTP<br>-PPTP<br>-SIP<br>-IRC DCC (не думаю что это кому-то сейчас нужно правда..)<br><br>Самый простой способ решения проблемы - миграция на ipfw (или Linux :))<br> FreeBSD 10.2 + pf + VPN (GRE) (kuksha12) https://www.opennet.ru/openforum/vsluhforumID1/96395.html#15 Tue, 15 Dec 2015 07:40:59 GMT Теоретически пропускает, но грабли с одним из видов VPN - с PPTP, а точнее с протоколом GRE, который в нём используется. Ещё точнее - проблемы с NAT для GRE, насколько я понял. Приляпывать IPFW сбоку - ни за что.<br>Для себя тему PF я закрыл - он только для поиграться.<br> FreeBSD 10.2 + pf + VPN (GRE) (tootsie) https://www.opennet.ru/openforum/vsluhforumID1/96395.html#14 Tue, 15 Dec 2015 05:33:48 GMT &gt; Я спрашивал про доступ к внешним VPN-сетям из локалки наружу. Свой VPN <br>&gt; мне ни заводить ни прокидывать не надо.<br><br>Хорошо, подними на шлюзе vpn клиента, который будет подключаться к необходимому vpn шлюзу.<br><br>Я просто не в курсе, pf реально не пропускает vpn подключение от клиентской машины наружу?<br><br> FreeBSD 10.2 + pf + VPN (GRE) (urgordeadbeef) https://www.opennet.ru/openforum/vsluhforumID1/96395.html#13 Mon, 14 Dec 2015 15:55:59 GMT &gt; Как в итоге пробросить VPN малой кровью?<br>&gt; (PPTP и L2TP до кучи) <br><br>Если l2tp без ipsec, то должно натится и так, там же udp.<br>В случае pptp проблема не в натировании gre, а в правке CallingStationID в управляющем tcp соединении. Сам pf такого не умеет, но контрольный линк можно завернуть в прокси, например frickin, который будет делать это сам. Из портов его выкосили, но можно взять в сети.<br> FreeBSD 10.2 + pf + VPN (GRE) (kuksha12) https://www.opennet.ru/openforum/vsluhforumID1/96395.html#12 Mon, 14 Dec 2015 15:42:31 GMT Я спрашивал про доступ к внешним VPN-сетям из локалки наружу. Свой VPN мне ни заводить ни прокидывать не надо.<br> FreeBSD 10.2 + pf + VPN (GRE) (Mikula) https://www.opennet.ru/openforum/vsluhforumID1/96395.html#11 Mon, 14 Dec 2015 13:10:32 GMT &gt;[оверквотинг удален]<br>&gt; pass quick on $ext_if inet proto tcp from any port 1723 to <br>&gt; any <br>&gt; pass quick on $ext_if inet proto gre from any to any <br>&gt; Написал ЭТО только для того, чтобы показать, что ни редиректов, ни таблиц, <br>&gt; ни других заморочек не применял - только открыл 1723 и разрешил <br>&gt; GRE напрополую. Всё.<br>&gt; Завтра скину то, что на самом деле, но особой разницы там не <br>&gt; будет. Пока не скинул, коротко - можно VPN c GRE через <br>&gt; PF пробросить или нет? Спрашиваю потому, что везде писали, что если <br>&gt; и можно, то не более одного соединения одновременно.<br><br>Может вот это поможет?<br>http://bezopasnik.org/unix/dok/FreeBSD/dok/675.htm<br> FreeBSD 10.2 + pf + VPN (GRE) (tootsie) https://www.opennet.ru/openforum/vsluhforumID1/96395.html#10 Mon, 14 Dec 2015 10:38:13 GMT &gt; видел, я про эту статью и писал, что выглядит жутко - костыль... <br><br>VPN сервер завести на самом шлюзе и ничего прокидывать не придется?<br> FreeBSD 10.2 + pf + VPN (GRE) (ALex_hha) https://www.opennet.ru/openforum/vsluhforumID1/96395.html#9 Sun, 13 Dec 2015 23:41:13 GMT &gt;&gt; а что мешает обратно поставить ipfw?<br>&gt; Пожалуйста, не надо уводить в сторону :) <br>&gt; Я спросил про PF.<br><br>так вам шашечки или таки ехать ;)<br> FreeBSD 10.2 + pf + VPN (GRE) (kuksha12) https://www.opennet.ru/openforum/vsluhforumID1/96395.html#8 Sun, 13 Dec 2015 20:06:07 GMT видел, я про эту статью и писал, что выглядит жутко - костыль...<br>