https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html Как известно, межсетевой экран PF, портированный в FreeBSD из OpenBSD, не может корректно транслировать (NAT) GRE-протокол и, к примеру, из локальной сети невозможно создать несколько одновременных соединений к внешнему серверу VPN PPTP.<br><br>Одним из способов решения проблемы является трансляция PPTP-соединений родным IPFW с "ядерным" NAT. При этом вовсе необязательно компилировать ядро. Все описанные действия проверены в FreeBSD версии 7.2. Но должно работать и в других версиях, где есть поддержка "ядерного" NAT для IPFW.<br><br>В /etc/rc.conf добавляем<br><br> #Включаем IPFW<br> firewall_enable="YES"<br> # Подгружаем модуль ядра ipfw_nat<br> firewall_nat_enable="YES"<br> # Указываем путь к скрипту загрузки правил<br> firewall_script="/etc/ipfw.script"<br><br>Создаем файл /etc/ipfw.script<br><br> #!/bin/sh<br> <br> /sbin/ipfw -q /dev/stdin &lt;&lt;RULES<br> flush<br> #em0 - внешний интерфейс шлюза<br> nat 10 config if em0<br> #Правила для трансляции PPTP-соединения<br> add 10 nat 10 gre from any to any<br> add 11 nat 10 tcp fr https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html#20 Fri, 01 Jul 2011 12:05:47 GMT &gt; добавьте правило в PF <br>&gt; pass proto 47 all keep state <br><br>"keep state" уже не обязательно &#8212; оно и так по дефолту у правил, если возможно, выставляется. //К.О.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html#19 Fri, 01 Jul 2011 06:50:48 GMT добавьте правило в PF <br><br>pass proto 47 all keep state<br> https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html#18 Mon, 18 Oct 2010 18:37:26 GMT А у меня на 7.3 frickin не работает. Клиенту что-то не нравится в ответе сервера:<br>19:20:36.729571 IP 10.1.5.14.1609 &gt; 193.16.x.x.1723: S 3359410257:3359410257(0) win 65535 &lt;mss 1460,nop,nop,sackOK&gt;<br>19:20:36.729619 IP 193.16.x.x.1723 &gt; 10.1.5.14.1609: S 3430707049:3430707049(0) ack 3359410258 win 65535 &lt;mss 1460,sackOK,eol&gt;<br>19:20:36.730070 IP 10.1.5.14.1609 &gt; 193.16.x.x.1723: P 1:157(156) ack 1 win 65535: pptp CTRL_MSGTYPE=SCCRQ PROTO_VER(1.0) FRAME_CAP(A) BEARER_CAP(A) MAX_CHAN(0) FIRM_<br>REV(2600) [&#124;pptp]<br>19:20:36.829972 IP 193.16.x.x.1723 &gt; 10.1.5.14.1609: . ack 157 win 65535<br>19:20:37.305707 IP 193.16.x.x.1723 &gt; 10.1.5.14.1609: P 1:157(156) ack 157 win 65535: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1) ERR_CODE(0) FRAME_CAP(AS) B<br>EARER_CAP(DA) MAX_CHAN(0) FIRM_REV(257) [&#124;pptp]<br>19:20:37.306094 IP 10.1.5.14.1609 &gt; 193.16.x.x.1723: P 157:325(168) ack 157 win 65379: pptp CTRL_MSGTYPE=OCRQ CALL_ID(32768) CALL_SER_NUM(28366) MIN_BPS(300) MAX_BPS(<br>100000000) BEARER_TYPE(Any) FRAME_TYPE(E https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html#17 Tue, 22 Dec 2009 09:10:03 GMT Странно, но у меня на FreeBSD 7.2-p5 amd64 при включенном PF, это не работает - к одному и тому же внешнему IP с двух "серых" адресов из локалки может подключиться только один, другим выдает Error 800. Пришлось вернуться к "костылю" с Frickin'ом. А жаль.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html#16 Tue, 15 Dec 2009 07:14:39 GMT дадада!<br><br>я тоже плакал, но над наивностью тех, кто повелся на syntax sugar от pf:<br><br>&gt;Добавлю свои пять копеек. :-) В свое время тоже повелся на pf (как же - написанный с нуля файрволл от команды OpenBSD!), однако отсутствие динамических пайпов по маскам не позволяло использовать его как шейпер - был pf на файрволл и нат и dummynet на шейп. В итоге с увеличением количества юзеров и полосы (3500+ и около 200-250 Мбит) все начало конкретно тормозить, что выливалось в потерю пакетиков. Сделал профилирование через hwpmc (кто не в курсе - http://wiki.freebsd.org/PmcTools) чего, кстати, желаю и всем остальным, кто хочет поближе узнать, чем занят комп в то время, которое в top'е обозначается как interrupt и т.п. :-) Так вот, в итоге выяснилось, что nat от pf - это такая жручая штука, что лучше потратить время и сделать адекватный набор правил для ipfw, чем насиловать систему этим pf.... Более подробно я писал об этом в этой теме - http://forum.nag.ru/forum/index.php?showtopic=47497<br><br>В итоге на основе личного опы https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html#14 Mon, 14 Dec 2009 12:08:21 GMT Над комментариями пользователей IPFW относительно PF я плакал.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html#13 Mon, 14 Dec 2009 11:26:46 GMT Немного не по теме, но может кто подскажет... Почему через D'Link`овский PPPoE роутер может пролезть только два конекта на внешний PPTP сервак? При подключении третьего кого-нибудь отрубает :(<br> https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html#12 Mon, 14 Dec 2009 09:51:32 GMT народ, а у меня работает, у меня отдел бухов весь долбится для отправки платежек по pptp в банки. Чего я не так желаю? <br> https://ssl.opennet.dev/openforum/vsluhforumID3/61970.html#11 Mon, 14 Dec 2009 08:49:08 GMT http://shurik.kiev.ua/blog/index.php?/archives/9-FreeBSD_i_GRE.html<br>+камент<br>